Az antivírusok önvédelemének tesztelése 2018, high-tech blog
Vizsgálati körülmények
- A KIS használt operációs rendszert Windows 10. a többi - Windows 7 Maximális SP1 x64
- a szokásos telepítési és konfigurálási opciókat használták - a Kaspersky és a DrWeb kivételével -, továbbá jelszavakkal rendelkeztek a menedzsmenthez való hozzáféréshez
- az aktuális felhasználó a Rendszergazdák csoportban volt. A Hacker folyamatot rendszergazdaként futották el
Vizsgálati módszertan
- szöveges fájl létrehozásának tartalmával «X5O! P% @ AP [4 \ PZX54 (P ^) 7CC) 7> $ EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $ H + H *», átnevezte a futtatható és eicar.com be van töltve egy jelszóval ellátott archívumba
- a fájlt kicsomagoltuk és elindítottuk, meg volt győződve a víruskereső teljesítményéről - a fájlt töröltük vagy letiltottuk
- megpróbálták megállítani a víruskereső valós idejű védelmének folyamatát - a Terminate (egyes esetekben - a Terminate Tree, az alábbiakban külön jelöljük), és felfüggeszti munkáját - felfüggeszti a következő újraindítással - Folytatás
- A fájlt újra kicsomagolta, és elindította vagy a víruskereső továbbra is letiltotta
A folyamatokat manuálisan és a parancssorból is manipulálhatja. Például:
ProcessHacker.exe -c -ctype folyamat -cobject dwengine.exe -csapás megszűnik
ProcessHacker.exe -c -ctype folyamat -cobject dwengine.exe -kakasztás felfüggesztése
Így néz ki az eicar.com sikeres és blokkolt indítása. blokkolás esetén a víruskereső bejelentette a hozzáférés megtagadását, ha az antivírus megkerülésével megkezdődött, az operációs rendszer azt írta, hogy nem volt végrehajtható fájl.
Tesztelt antivirusok
- Avast! Ingyenes Antivirus 10.4.2233
- Avira Antivirus 15.0.13.210
- Dr.Web Security Space 11.0
- ESET NOD32 Antivirus 9.318.24
- Kaspersky Endpoint Security 10 SP1 10.2.2.10535
- Kaspersky Internet Security 16.0.0.614
- McAfee Internet Security (McAfee SecurityCenter 14.0.1029, Vírusok és kémprogramok elleni védelem McAfee 18.0.204)
- Norton Internet Security 22.5.4.24
- 360 Teljes biztonság 8.0.0.1046
Avast! Ingyenes Antivirus 10.4.2233
a) Megpróbálja megállítani a folyamatot. Sajnálatos. Az Avast nem hagyja abba a folyamat bármely folyamatát, és jelentést tesz a hozzáférés megtagadásáról.
b) Megpróbálja felfüggeszteni a folyamatot. Sajnálatos. Az Avast nem engedélyezi a folyamatok bármelyikének felfüggesztését, amely a hozzáférés megtagadásáról számol be.
- vírusvédelmi stop: nem lehetséges
- veszély foka: nulla
Avira Antivirus 15.0.13.210
a) Megpróbálja leállítani a folyamatot (Terminate tree). Az első két alkalommal a szolgáltatás újraindulását okozza, a harmadik alkalommal pedig leáll. Vírusok indíthatók el.
b) Megpróbálja felfüggeszteni a folyamatot. Súlyos fékeket okoz, de a rendszer működőképes. Kicsomagolja a vírust és futtatja.
- vírusvédelmi stop: teljes
- veszély foka: maximális
Dr.Web Security Space 11.0
a) Megpróbálja megállítani a folyamatot. Hosszú újraindul a szolgáltatás (5-6 másodperc), amely alatt kibonthatja a vírust és futtathatja csendben a Dr.Web előtt. Végül törölje a fájlt.
b) Megpróbálja felfüggeszteni a folyamatot. Blokkolja az új programok indítását (hangjukban), a már megkezdett felfedezővel és PH-vel együtt dolgozhat. A folyamat folytatását követően a Dr.Web folytatja a szokásos működését. Megjegyzés. Ha a Dwengine.exe folyamat befejezése után felfüggeszti a felfüggesztést. akkor a folyamatot határozatlan időre felfüggesztik, és semmilyen módon nem reagálnak a vírusokra, ami egyenértékű a szolgáltatás teljes leállításával.
Az eredmény.
- vírusvédelmi stop: teljes
- veszély foka: maximális
ESET NOD32 Antivirus 9.318.24
a) Megpróbálja megállítani a folyamatot. A szolgáltatás azonnal újraindul. Látható, hogy a folyamat PID változik, de a vírus nem kezdi kézzel.
b) Megpróbálja felfüggeszteni a folyamatot. Blokkolja az új programok indítását (hangjukban), a már megkezdett felfedezővel és PH-vel együtt dolgozhat. A folyamat újraindítása után az antivírus továbbra is a szokásos módon működik.
- vírusvédelmi stop: nem lehetséges
- veszély foka: nulla
Kaspersky Endpoint Security 10 SP1 10.2.2.10535
a) Megpróbálja megállítani a folyamatot. Először is az explorer.exe által generált grafikus felület (Terminate) folyamata. amely azonnal újraindul a szolgáltatási folyamat gyermekeként. Ezután hajtsa végre a Terminált fa elemet a fejfolyamatban. Újra megjelenik, de már egyedül. Végrehajtunk Terminátot rajta. majd újra, és nem látjuk többet a Kaspersky-től. Vírusok indíthatók el.
b) Megpróbálja felfüggeszteni a folyamatot. Blokkolja az új programok indítását (hangjukban), a már megkezdett felfedezővel és PH-vel együtt dolgozhat. Néhány perc múlva a KES szolgáltatás leáll. vírusok indíthatók el. Ha a grafikus héj folyamata nem áll le ez előtt, a szolgáltatás újra elindul. Ha leáll, a szolgáltatás jó állapotban van.
- vírusvédelmi stop: teljes
- veszély foka: maximális
Kaspersky Internet Security 16.0.0.614
a) Megpróbálja megállítani a folyamatot. Mindkét folyamatot kiválasztjuk, három kísérlet után már nem jelennek meg. Vírusok indíthatók el.
b) Megpróbálja felfüggeszteni a folyamatot. Blokkolja az új programok indítását (hangjukban), a már megkezdett felfedezővel és PH-vel együtt dolgozhat. A folyamat újraindítása után a víruskereső felfüggeszti az egész rendszert, és megköveteli az operációs rendszer újraindítását.
- vírusvédelmi stop: teljes
- veszély foka: maximális
McAfee Internet Security 18.0.204
a) Megpróbálja megállítani a folyamatot. A folyamat azonnal újraindul, de a harmadik kísérlet után kezelik. Vírusok indíthatók el.
b) Megpróbálja felfüggeszteni a folyamatot. Vírusok indíthatók el. A szolgáltatás folytatása után a szolgáltatás törli a fájlt.
- vírusvédelmi stop: teljes
- veszély foka: maximális
Norton Internet Security 22.5.4.24
a) Megpróbálja leállítani a folyamatot (Terminate tree). Az első két alkalommal - indítsa újra a szolgáltatást, a harmadik alkalommal - ez olyan, mint egy leállítás. És itt kezdődött a legérdekesebb pillanat a tesztelés során. Annak ellenére, hogy a szolgáltatásmegállást megerősítette a service.msc státusza és a folyamatok hiánya a KH-ban. A Norton továbbra is eltávolította a vírusokat. amint azt a napló a kézikönyvet kézzel indított bejegyzéséből is mutatja. Volt egy érzés, hogy Norton felkészült az ilyen manipulációkra és elrejti a folyamatot, beleértve a Process Hackert is. Bravó!
b) Megpróbálja felfüggeszteni a folyamatot. Megakadályozta az új programok indítását (hangjuk formájában), lehetett dolgozni a már megkezdett felfedezővel és a PH-vel. A folyamat újraindítása után a vírusvédelem a szokásos módon működött tovább.
- vírusvédelmi stop: nem lehetséges
- veszély foka: nulla
360 Teljes biztonság 8.0.0.1046
a) Megpróbálja leállítani a folyamatot A fa fejlécének befejezése véget vet mindhárom folyamat egyszerre és jóra. Tiszta győzelem!
b) Megpróbálja felfüggeszteni a folyamatot. Az eljárás végrehajtása a fejfolyamatban várhatóan megakadályozza a programok indítását. A folyamat újraindítása után a vírusvédelem a szokásos módon működött tovább.
- vírusvédelmi stop: teljes
- veszély foka: maximális
Eredményes táblázat
Mit jelent ez a teszt? Legalább - gondolkodás szükségességét. A hazai vírusölők meglepő módon meglepődtek: teljesen biztosak voltak benne, hogy a Kaspersky és a Dr.Web példamutató eredményeket mutat. Avast! NOD32 és Norton - tapsunkat!
Szeretném elmondani, egy kicsit a teszteket, mint olyan, és a választott vírusölő. Bárki, aki részt vesz a vírusvédelem, tudja, hogy hasonlítson antivírus szoftver a fő funkciójuk gyakorlatilag lehetetlen bármilyen antivírus van egy vírus, hogy ő nem fogja érzékelni, vagy eltávolítani a hibás (itt és a következőkben azt értjük, vírusokat, rosszindulatú program). Minden vírusvizsgálat teljesen haszontalan.
Miért van szükség a víruskereső szoftverek veszteségmentes tesztelésére?
Gyakran előfordul, hogy az egyik felhasználó letölti az ezer vírusból valahol talált archívumot, és néhány fórumon az emberek megmérik magukat - ki rendelkezik a víruskeresővel. Itt a probléma abból adódik, hogy a legtöbb képzett felhasználó többsége félreértette azt a tényt, hogy az antivírus általában védelmet nyújt a tényleges vírusok ellen.
Mi az a tényleges vírus. Ez egy olyan vírus, amely egy adott időben elegendően terjed, és veszélyt jelent. Írja meg a vírus, amely kihagyja az összes anti-vírus szoftver, a komoly programozó általában nem jelent problémát, csak írj egy wrapper (nem tévesztendő össze a történész), és tegye vissza a rosszindulatú kódot. Így, ha része a víruskereső észleli a vírust talált oldalak kétes tartalmat, és a másik része nem -, akkor ez nem előny a volt, mivel ez a vírus általában csak akkor áll fenn ezen az oldalon, és számos más tucatnyi azonos szegénylegények.
Ebben az összefüggésben van még egy pont. Ha a víruskereső cég a vírusadatbázisában felsorolja az összes ismert vírus leírását, akkor ez az adatbázis több gigabájtnyi méretű lesz, és minden egyes fájlt több másodpercig ellenőriz. A vírusellenes cégeknek egyensúlyt kell teremteniük a modern számítógépek biztonsága és teljesítménye között. Így mindezek a vállalatok megtisztítják alapjukat irreleváns vírusrekordoktól. A kritérium vonatkozású vírusok mindegyike cég saját: valaki törli a vírusokat, amelyek nem tartották több mint 10 éve, hogy valaki - több mint 5 éve, ha a vírus nem alkalmazzák széles körben, az egyik gyártó törli a rekordot is egy év, a másik - nem törli, stb. és hasonlók. Ha a vírus friss, és még mindig nem sérül meg komolyan, akkor egyetlen víruskeresővel való keresés nem jelent semmit, a következő alkalommal, amikor ez a víruskereső maga a "vesztes" sorozat. Más szóval, a fórumokon végzett tesztek valahol vírusokat találtak, nincs értelme.
Miért haszontalan a vírusok elleni vírusvédelmi teszt?
Nos, a kezdők számára, mi teszi őket hivatásosak? Először is - a tényleges vírusok kiválasztása, azaz azok, amelyek a tesztelés során széles körben elterjedtek és amelyek elegendő veszélyt jelentenek. Nem bízhat meg ilyen tesztekben banális oknál fogva: sokan elfogultak és szponzorokra szabottak, és független teszteket nem lehet azonosítani köztük.
Nincsenek kapcsolódó cikkek.