» Обзор антивирусов под Windows

vlnik
Вот в принципе готовое решение.
Касперский работает в штатном режиме.
Начинаем эксперимент.
Ставлю в касперском поиск только по опасным расширениям, переименовываю exe трояна в exe_ , запускаю сканер DrWeb.
Скопировал на комп папку с DrWeb, запустил сканер DrWeb (drweb32w.exe), натравил сканер на папку с вирусом.
В итоге каспрский промолчал (данное расширение он не обрабатывал - будем условно считать, что касперский этого трояна еще не знает) и трояна выхватил DrWeb (видно на скрине в окне сканера DrWeb).



Теперь временно выключаю файловый антивирус касперского, переименовываю файл трояна обратно в exe, натравливаю сканер DrWeb.Как видно на скрине касперский в этот раз сработал раньше, перехватив обращение сканера на себя, так как обнаружил вирус.

Выводы: DrWeb сыграл роль вспомогательного антивирусного сканера, который может обнаружить вирус в случае если основной антивирус вдруг пропустит заразу. DrWeb работает исключительно в виде сканера и не может мониторить процессы в реальном режиме времени - т.е. его можно использовать для перестраховки (к примеру, запускать с ком.строки сканер в менеджере закачек).

ЗЫ: обратите внимание что сканер DrWebа отловил Pach_1.9.exe_ , который пропустил Касперский (помните про поиск только по опасным расширениям). Каспер же отловил сам Pach_1.9.exe, мониторя процессы DrWeb'a - есно что DrWeb Pach_1.9.exe уже не увидел

Цитата:

Начинаем эксперимент.
Выводы:

Маньяк

Если я правильно понял, то вы использовали только сканер от ДрВеба без монитора, тогда это давно уже известно и портабл версии, для переодического сканирования, есть почти у всех крупных АВ

redwhiterus

Цитата:

без монитора

Есно что без монитора. Я же не совсем маньяк систему в синий экран вгонять.
Условие задачи было такое:

Цитата:

больше интересует постоянный мониторинг Каспера и второй по требованию, если есть сомнения.

Частично (не мониторинг, а скан) это легко осуществимо.

rayoflight
Сами переписывайте! Хотите поспорим, что это Израиль? То, что они штаб-квартиру туда перенесли нихрена не значит(Eset сечас тоже типа США)!!! Кстати эта фирмочка(ненавижу - дыра конченная) уже один раз бросала занятие по выпуску антивирей. Рекомендую к прочтению книгу Касперского - там есть глава с историей созданий фирм антивирусных...

George_S
Чего так кипятиться? http://en.wikipedia.org/wiki/McAfee#History

x25
Короче - исправил.... не буду доказывать, что антивирь израильский...

Microsoft Forefront Client Security
у меня нашел то, что не увидили симантек и нод

fsv2k5
Рад за вас!А подробнее можна?

fsv2k5 Вопрос такой - Мелкомягкие мне заявили, что этот чудо продукт бывает только по корпоративной лицензии... Вы его купили на фирму? И где его можно скачать?

Microsoft Forefront Client Security доступен в прайсах мелкомягких по подписке "Open Value" и "Open Value Subscription". Правда вживую это чудо ни разу не видел, но говорят что в нём зашито целых восемь антивирусных ядер! Представляю сколько будет ложных срабатываний...

George_S
Ктать по поводу стран, откуда что пошло AVG - Чешский антивирь А Sophos - британский. Теперь-то у них понятно дело, головные офисы в штатах. Но голова растет из европы.

crapaud - сделал как мог - видите, что не прав - правьте пжта(то что не знал - заходил на оф.сайты и смотрел "контакты" - потому так и вышло)... Вы же не Junior member - правьте шапку...

George_S
я и поправил просто прокомментировал, чтоб небыло удивления

Ребята, спасибо за шапку.
Хорошо бы для ориентировки добавить в строку против названия доступные варианты прог. Например (free, com, portabl):
Аваст - Free (95% свойств), Comm (коммерч).
DrWeb - Free (сканер CureIt), Comm.

crapaud


Добавлено:
Sssvan
Только у Каспера больше 20 наименований его решений, к сожалению эта задача невыполнима... И мой Вам совет - забудьте о бесплатных решениях... У всех есть 30-дневки поолнофункциональные, у Авиры сейчас даже 90 дней...

George_S

Цитата:

Поставьте на тотальный скан Веба и поработайте на компе... а потом для сравнения сделайте тоже самое но с НОДом - Вы обалдеете...

Вот так просто нельзя сравнивать. При максимальных настройках drweb умеет проверять больше типов файлов (архивы, инсталляторы, образы дисков, ...) чем НОД. Хотя у drweb есть проблемы, например неоправданно много времени и ресурсов тратит на проверку больших 7zip архивов. Можно сказать, что на таких файлах он в 10 раз медленнее НОДа, поскольку НОД 7zip не умеет проверять вообще.
С другой стороны, chm файлы НОД проверяет не менее тщательно, чем Доктор, но существенно быстрее.

Panzer
а не все ли равно, если доктор бессилен над манипуляциями в реестре, над сносом своих настроек и последующим выносом после перезагрузки себя родного а также над любой чуть сложной комбинацией крипторов свыше одного и практически любыми немножно поправленными эксплоитами?

[Panzer А вы им одинаковые настройки поставьте(то есть не проверять архивы и т.д.) и все равно обалдеете... Я не фанат НОДа, но это так и есть... Не говорю уже о шпионах и др. немаловажной мелочи...

Цитата:

а не все ли равно, если доктор бессилен над манипуляциями в реестре, над сносом своих настроек и последующим выносом после перезагрузки себя родного а также над любой чуть сложной комбинацией крипторов свыше одного и практически любыми немножно поправленными эксплоитами?

Единственный наверно кто реально из АВ от этого защищает-Касперский, но его эвристика похуже Докторовской ИМХО ес-но
George_S

Цитата:

Вопрос такой - Мелкомягкие мне заявили, что этот чудо продукт бывает только по корпоративной лицензии... Вы его купили на фирму? И где его можно скачать?

www.prosheprostogo.ru из тех журналов что в конторе есть во всех реклама
Правда у меня почему то создалась папка в програмфайлс(открывал ие) и неудаляется, на выходных от имени системы снесу, сайт сволочь тяжелый,а ждать лень

cracklover

Цитата:

а не все ли равно

конечно нет. Мы про другое говорили.

Цитата:

доктор бессилен над манипуляциями в реестре

Не уверен, что нужен монитор реестра.

Цитата:

над сносом своих настроек и последующим выносом после перезагрузки себя родного

Да, самозащита нужна, по слухам делается. Однако от злого Администратора не спасёт никакая защита.

Цитата:

над любой чуть сложной комбинацией крипторов свыше одного и практически любыми немножно поправленными эксплоитами?

А кто стабильно лучше раскручивает пакеры/крипторы ? Только не надо говорить про детект факта наличия пакера/криптора, хотя, может быть, все к этому придут, рано или поздно.

Вот что действительно нужно в дополнение к Доктору, это firewall. Хотя бы встроенный в Винду надо включить.

George_S

Цитата:

А вы им одинаковые настройки поставьте(то есть не проверять архивы и т.д.) и все равно обалдеете...

Ага, то есть одинаковые "минимальные". Ставил. Если у НОДа не отключать детект упаковщиков и оставить полную эвристику (иначе нет смысла вообще сканер запускать), то обалдения не получалось.

Позволил себе чуток отредактировать шапку, заполняем и дополняем табличку.

Старая версия шапки:

---

ВНИМАНИЕ! ЗДЕСЬ НЕ ОБСУЖДАЮТ ВАРЕЗ!!!

Основные вендоры антивирусной индустрии:

Agnitum (Outpos Security Suite) - РФ, Кипр
AhnLab (V3) - Южная Корея
Aladdin (eSafe) - Израиль
ALWIL (Avast! Antivirus) - Чехия
AVG Technologies (AVG) - Чехия
Avira (AntiVir) - Германия
ClamAV (ClamAV) - бесплатный, open source
CA Inc. (Vet) - США
Doctor Web, Ltd. (DrWeb) - РФ
Eset Software (ESET NOD32) - Словакия
FRISK Software (F-Prot) - Исландия
F-Secure (F-Secure) - Финляндия
Ikarus Software (Ikarus) - Германия
Kaspersky Lab (AVP) - РФ
McAfee (VirusScan) - США
Norman (Norman Antivirus) - Норвегия
Panda Security (Panda Platinum) - Испания
Safe'n'Sec - РФ, позиционируется как HIPS решение+сторонние сканеры(VBA32, DrWEB)
Softwin (BitDefender) - Румыния
Sophos (SAV) - Великобритания
Sunbelt Software (Antivirus) - США
Symantec (Norton Antivirus) - США
Trend Micro - Тайвань
VirusBlokAda (VBA32) - Беларусь
VirusBuster (VirusBuster) - Венгрия

ТЕСТЫ АНТИВИРУСОВ НА RU-BOARD


прежние темы: часть 1 , часть 2 , часть 3
Интересные темы :
Голосование 2007 года Какой антивирус Вы предпочитаете?
Голосование Какой антивирус под Windows XP Вы используете?
Голосование Какой Антивирус Вы предпочитаете и почему?
Лучший антивирус
Антивирусная утилита AVZ - дополнение к стационарным антивирусам

Virustotal - сервис, который анализирует подозрительные файлы и облегчает быстрое обнаружение вирусов, червей, троянов и всех видов вредоносных программ, определяемых антивирусами.

---

Цитата:

забудьте о бесплатных решениях

Кому как. Я пользуюсь free Авастом много лет. Но посторонние к моему компу допускаются редко, есть пара вспомогательных free прог, а специально через инет меня ловить незачем. У других, естественно, может быть по-другому.
Molt
Огромное спасибо за шапку, - то что надо.
Рускоязычный сайт для Аваста _http://www.avast.ru/.
Теперь в случае чего сразу известно, где "Бесплатные утилиты для удаления вирусов".
А что такое "Проверка Online Scan"? Если это сканирование с их сайта моего компа (встречал такое), то не опасно ли отдавать свой комп в полное распоряжение чужаку? Иногда мы сами не подозреваем сколькими секретами располагаем.

Sssvan

Цитата:

А что такое "Проверка Online Scan"? Если это сканирование с их сайта моего компа (встречал такое), то не опасно ли отдавать свой комп в полное распоряжение чужаку? Иногда мы сами не подозреваем сколькими секретами располагаем.

На сайтах я встречал два вида проверки. В одном случае мы отправляем файл через специальную форму (пример - Dr.Web). В другом случае - с сайта фактически грузится антивирусный сканер с актуальными базами, который и проводит сканирование - т.е обмена файлов туда-обратно нет. Вот эти два момента я старался отобразить в таблице.

Цитата:

Рускоязычный сайт для Аваста _http://www.avast.ru/.

Исправим. Вот так вот, по крупицам хотелось бы собрать всю инфу в шапке.

Насчет проверки он-лайн - имхо очень полезная ссылка
http://anti-malware.ru/index.phtml?part=links&sec=online_scanners

Molt

Цитата:

Вот так вот, по крупицам хотелось бы собрать всю инфу в шапке.

Avira (AntiVir) русскоязычный сайт - http://www.avirus.ru/

Все. Плз шапку здесь не обсуждать, дополняем и обсуждаем шапку в тестировании:
http://forum.ru-board.com/topic.cgi?forum=2&topic=3571

Panzer

Цитата:

Не уверен, что нужен монитор реестра.

Единственная зацепка самых опасных вирусов, это хитрая запись в реестр. Им жизненно важно закрепиться на системе, а уж эвристика и сигнатурный анализ им давно по барабану. Так вот Доктор Веб дает возможность закрепиться в реестре ЛЮБОМУ вирусу. Даже в банальном ране. Это не выдерживает никакой критики!

Цитата:

Да, самозащита нужна, по слухам делается. Однако от злого Администратора не спасёт никакая защита.

Неужели? По жизни сижу под адимном. Попробуй-ка, плиз, снести каспера под амдином со включенной опцией самозащиты. Получится - поделись рецептом. Это будет мини-сенсация)

Цитата:

А кто стабильно лучше раскручивает пакеры/крипторы ? Только не надо говорить про детект факта наличия пакера/криптора, хотя, может быть, все к этому придут, рано или поздно.

Крипторы не надо раскручивать. Они ВСЕГДА на шаг впереди. Еще ни разу не было ситуации, когда в арсенале хакеров хоть на один день не было очередного криптора, которая бы сводил на нет всю эвристику и сигнатурный анализ любого антивируса. Сигнатурный анализ и эвристика это ПОСТФАКТУМНАЯ защита. Без неё никак, но реально от новой заразы она никак не спасет.

Цитата:

Вот что действительно нужно в дополнение к Доктору, это firewall. Хотя бы встроенный в Винду надо включить.

Вот что действительно сейчас редко встретишь, так это любой более или менее серьёзный вирус, который все ещё НЕ умеет обходить встроенный в винду фаерволл

Molt
Это не русскоязычный сайта Аваста - это сайт оф. реселлера - возвращаю ссылку.

Добавлено:
А вот русский avirus.ru - правильно - это оф. представитель и дистрибьютор. Все кончаю здесь шапку обсуждать.

Добавлено:
Спасибо за шапку!

cracklover
Во второй раз все-таки вступлюсь на защиту DrWeb'а, все-таки он у меня основной антивирь
Все-таки, IMHO, ты не совсем корректно сравниваешь его с Касперским. Но сначала ответь на вопрос:
Если сравнивать Доктора и Касперского, но не учитывать у последнего его HIPS-функционал (за его наличие ему сразу плюс, а Доктору маленький плюсик) - какова твоя оценка этих двух антивирусов? Они примерно на одном уровне или же один значительно обходит другого? (если последнее, то конкретика не помешает, а услышать от тебя плюсы и минусы каждого было бы очень интересно ).
Теперь про HIPS-функционал Касперского, то что он есть хорошо, но было бы гораздо лучше если бы он был реализован в отдельном продукте, не просто две версии антивируса: с этим функционалом и без него, а именно отдельно антивирус, отдельно AVP-HIPS который ставился бы "поверх" первого (и что не менее важно - нормально "снимался с верха"). Да у Доктора этого практически нет, но уже есть немало достойно программ которые восполняют этот недостаток, и если в чем-то не понравилась одна можно выбрать вторую, третью... и если и будут какие-то конфликты сразу после установки, то они, почти всегда, решаются после настройки обеих программ.
Комбайны хороши, IMHO, только одним - быстро устанавливаются, специализированные продукты всегда лучше выполняют свои функции, может быть за редким исключением, пример которого я, навскидку, сразу и привести не могу. Комбайн в области безопасности - это плохо тем что для того что бы открыть этот "замок" надо подобрать только один "ключик"...
Так вот, если сравнивать эти два антивируса и упоминать HIPS-функционал, то надо указывать чем он восполняется у Доктора, и тогда уже смотреть кто лучше кто хуже с учетом этого.
Цитата:

Сигнатурный анализ и эвристика это ПОСТФАКТУМНАЯ защита. Без неё никак, но реально от новой заразы она никак не спасет.

да, несомненно это так, но не менее чем в 90% случаях спасает именно она, IMHO, конечно.

Чего действительно сейчас не хвататает Доктору, так это проверка http-трафика, а так - "Доктор делает меньше чем Касперский, но то что делает - делает на достойном уровне".

Народ, может ли кто поделиться вирусной подборкой для тестов антивирусов или тынцом на нее? В инете ничего толкового не нашел.