» Обзор антивирусов под Windows

gjf

Цитата:

Ну верно - это ж лишние растраты!

Да, и потеря времени. Нужно несколько бесславных и безденежных лет чтобы поднять продукт, гораздо проще...
Andrey100KZ
Вы пользуетесь им? Есть впечатления?

redwhiterus
Да, поставил дома на Windows 7. Ранее около 2 лет стоял Forefront.
Если коротко, то впечатления только положительные. Очень простой и в тоже время достаточно надежный антивирус (пока не подводил ни разу). Не ресурсоемок. Во всяком случае я не замечаю его работы даже во время ежедневного сканирования (ну разве только по всплывающему окну). Для домашнего пользования в самый раз. Жаль что не обновляется через WSUS, а то поставил бы и в конторе.

Andrey100KZ

Цитата:

Очень простой и в тоже время достаточно надежный антивирус (пока не подводил ни разу).

А другими проверяли систему? У меня сомнения не столько в его быстродействии сколько в надежности. Впрочем тут дело не в ваших словах

redwhiterus

Цитата:

А проактивка не сработала или она была выключена?

Было включенно "Выбирать действие автоматически" и судя по результату или не сработала или действие было разрешено.
gjf

Цитата:

Нет, ну с винлокерами там всё сложнее и управы, к сожалению, пока не предвидится. И дело даже не в антивирусах, а в "подмазанности" и очень больших деньгах.

Я в курсе как там дело, но как это объяснить людям которым рекоменодавал KIS и которые поймали заразу?!

Цитата:

Ведь в остальном очень гибкий продукт и довольно мощный - были бы руки гибко гнуть и мозги эту мощь использовать. И антируткит у них исключительный, но конечно с некоторыми багами.

Исключительный антируткит! Только какого.. проверка на руткиты, вместо положенного "раз в день и после запуска проги", у меня запускалась каждые полчаса? Почему она вообще запускалась без моего ведома?!

Цитата:

Ну с антируткитом вроде разобрались (и то недавно), но песочница глубоко бетовая - и лепим ещё кучу ненужных фич!

Песочница бесполезный продукт - зачем эта жалкая поделка нужна когда есть VMWare (ну или хоть Virtual PC)?

Цитата:

Бэкап данных пользователя? Невосстановимое удаление файлов? Дык бесплатного утиля на то - куча! Криптование? Утилиты с несколькими алгоритмами и оптимизированным кодом! НА КОЙ???

Жалкие поделки и нужны он только для этого:

Цитата:

Главное это захватить как можно более жирный кусок рынка, привязать к себе пользователей

Цитата:

Хотя может это и моя паранойя.

Всяческое "криптование" должно быть с открытым исходным кодом!

WildGoblin


Цитата:

но как это объяснить людям которым рекоменодавал KIS и которые поймали заразу?!

и что Вы людям на данном этапе советуете?

Цитата:

И антируткит у них исключительный

И что там такого (не в курсе )?

Цитата:

Песочница бесполезный продукт - зачем эта жалкая поделка нужна когда есть VMWare (ну или хоть Virtual PC)?

Средний пользователь не полезет же туда.

redwhiterus

Цитата:

А другими проверяли систему?

Разумеется... Kaspersky VRT и Dr.Web CureIt. Проверяю пару раз за год. Последний раз проверял примрно с месяц назад, как всегда все чисто.

WildGoblin
Erekle
qscan в последних апдейтах пофиксен. И сейчас его отладка - одна из первостепенных задач. Тут хотя бы работа активно ведётся.

evol22

Цитата:

и что Вы людям на данном этапе советуете?

Это я вообще-то вопрос задал...
Можно посоветовать разъяснять, людям которым устанавливаете антивирь, что можно запускать, а что нет, но только занятие это почти бесполезное. Как можно это объяснить некоторым товарищам? Разбираются они в компах на хм.. бытовом уровне - знают как игрушку запустить или по инету немного лазить умеют. Большего им и не надо - у них другие интересы и работа никак не связанная с IT.
Один знакомый, с месяц назад, поймав такую заразу сначала эсэмэску отправил и только потом мне позвонил. У него был установлен KIS, думал ничего ему не грозит, а оказалось толку от КИСа как от газового болончика
Erekle

Цитата:

Средний пользователь не полезет же туда.

Средний пользователь не полезет и в песочницу KIS, он её просто не найдёт так как интерфейс КИСы это отдельная игра - в жанре РПГ.
gjf

Цитата:

qscan в последних апдейтах пофиксен.

Я его у себя отключил - так оно спокойней.

Цитата:

И сейчас его отладка - одна из первостепенных задач. Тут хотя бы работа активно ведётся.

Мне очень нравится быть (внезапно) бета тестером - три раза ку в сторону ЛК.

Erekle
Если я не ошибаюсь главная сила антируткита Каспера в Олеге Зайцеве.
redwhiterus
ForeFront проявляет себя похожим образом и у меня - т.е. очень достойно.
Стоит в организации уже 6 мес. Эвристик есть точно, даже есть опция его отключить.
WildGoblin
Ну проблема с SMS вымогателями - это как заметил один из наших участников -
проблема всей антивирусной индустрии. Один знакомый словил этого гада
с Dr.Web - другой с NOD32 - третий с F-secure. Хотя последние 2
очень даже ничего при определенной настройке.

WildGoblin

Цитата:

Было включенно "Выбирать действие автоматически" и судя по результату или не сработала или действие было разрешено.

Не удивлюсь что тут повлиял человеческий фактор, сила проактивки на мой взгляд в ручном использовании более-менее понимающего человека.
lelik007

Цитата:

ForeFront проявляет себя похожим образом и у меня - т.е. очень достойно.
Стоит в организации уже 6 мес. Эвристик есть точно, даже есть опция его отключить.

ForeFront коммерческий продукт, MSE требует лишь валидной винды, потому савнивать их не до конца верно, имхо.

redwhiterus
Не могу с вами согласится уважаемый, по моему одно и то же,
просто Forefront с централизованным управлением + как вы сказали
для организаций. Детект такой же и глюки теже.

Добавлено:
Можно поставить как второй, он не конфликтный.

lelik007
Возможно вы и правы, спасибо за отзывы и мнения, это всегда интересно


Цитата:

Детект такой же и глюки теже.

Глюки?

redwhiterus

Цитата:

ForeFront коммерческий продукт, MSE требует лишь валидной винды, потому савнивать их не до конца верно, имхо.

оба антивруса используют один и тот же антивирусный движок и одни и те же базы.
По-моему просто фейс разный. Ну и часть настроек в MSE спрятали.

redwhiterus

Цитата:

Не удивлюсь что тут повлиял человеческий фактор, сила проактивки на мой взгляд в ручном использовании более-менее понимающего человека.

Конечно человеческий - ткнул бездумно "запустить/установить" и получил красоту на пол экрана На счёт проактивки полностью согласен.

Предлагаю в примечания добавить еще один пункт - "проверка лицензии винды"!
Т.к. некоторым было бы полезно знать эту инфу ДО установки, дабы не быть огорченными и не иметь неожиданных временных сложностей после

Цитата:

Предлагаю в примечания добавить еще один пункт - "проверка лицензии винды"!

Угу. Я на компе в деревне установил для пробы два простых софта для графики, Malware Defender (которого подозреваю) и Defence Wall. После рестарта вылезло какое-то сообщение. Если у кое-кого из антивирусов такое имеется, надо об этом знать, и вообще, не их это дело.

Цитата:

Средний пользователь не полезет и в песочницу KIS

Ему и туда нежелателно лезть.
Антивирус должен сэмулировать запуск в виртуальной среде при критическом коеффициенте подозрения и сообщить, что оно там вытворяет, опять же с коеффициентом подозрительности - это опасно, это слишком опасно, это недопустимо.

Цитата:

, технический директор Eset, рассказал CNews, что продуктам его компании сама по себе «песочница», по сути, не нужна. «Это одна из дополнительных опций антивирусного продукта, никак не связанная с технологией детектирования вредоносных программ. Она способна ограничить возможные действия подозрительного ПО, но не определить, является ли файл опасным», — считает он. По словам Васильева, в продуктах Eset за контроль критических изменений (то, для чего используется «песочница») отвечает система HIPS (Host Intrusion Prevention System)

И их HIPS чудесным образом определяет, опасно или нет (я вовсе не знаю, так ли это, но поверим на слово)? Видимо, дело в том, что считать опасным и как определять степень опасности. При правильной оценке и результат будет хорошим. К примеру, почему эвристик НОДа был лучшим (я не фанат НОДа, и на КИС не наезжаю)?

Цитата:

Главным отличием от Kaspersky Internet Security 2010 конкурентов является модуль «Контроль приложений», основанный на уникальной для домашних антивирусных продуктов системе предотвращения атак (Host Intrusion Protection System - HIPS). Данный компонент обеспечивает мощную проактивную защиту компьютера, используя те самые разрекламированные облачные технологии (репутационные онлайн-базы для огромного количества файлов).

И что, при установке разных флеш-плейеров они успешно проходят тот самый экзамен?

Цитата:

При запуске какого-либо приложения на компьютере все его действия перехватываются Kaspersky Internet Security 2010 и анализируется. В результате вычисляется рейтинг безопасности приложения, на основании которого оно относится к одной из групп: Доверенные, Слабо ограниченные, Сильно ограниченные или Недоверенные.

Это пост-фактум? Кому этот рейтинг нужен после?

Цитата:

Кроме этого надежность защиты в Kaspersky Internet Security 2010 укрепилась за счет появления эмуляционной эвристики BSS (Behavior Stream Signature - обновляемые поведенческие сигнатуры , которыми можно заменить тысячи обычных сигнатур), скриптового эмулятора, улучшенного поведенческого анализатора (PDM2),

...результат? Кстати, последний тоже пост-фактум, с целью обобщениея списка?

Цитата:

а также компонент "Безопасная среда" (Sandbox песочница)". На последнем стоит остановится более подробно.
В Kaspersky Internet Security 2010 впервые реализована возможность запуска подозрительных программ и веб-сайтов в Безопасной среде (песочнице). Безопасная среда – это изолированное виртуальное пространство, которое позволяет пользователю посещать подозрительные веб-сайты или запускать неизвестные программы, не боясь заразить свой компьютер. При работе в безопасной среде потенциально опасные программы не имеют доступа к ресурсам материнской системы и каким-либо данным пользователя.
Запущенные в безопасной среде программы приобретают зеленую рамку.

Да хоть оранжевую.
Другими словами, тут пересказ заветного подхода типа "ограниченный пользователь" (под которым, естественно, не сижу и не собираюсь; и прав был в общем технический директор Eset-а), перекладывая на последнее свою лень сесть и написать толковый сценарий для имеющихся или предполагаемых угроз (и обновлять эти сценарии с Urgent Detection System, Behavior Stream Signature и т. д.), и как поступать при сумме рейтинга, облачных баз, виртуальных действий и так далее. Одним словом - заоблачная эмуляция в песочнице с применением поведенческого анализа в ХИПСе, а не каждый модуль для себя.

Цитата:

сколько можно про песочницу спрашивать? )))), конечно нужна, правда думаю пора к песочнице привязывать "обнюхиватель".....чтобы решение что запускать в песочнице а что нет "решал" сам антивирус а не домохозяйки, которым все равно - есть песочница или ее нету.

Вот, коротко и просто. Но возможны осложнения по части правильного принятия такого решения.

По последней ссылке кто-то предпочитает ХИПС (видимо, продвинутые; или как выше на странице, "сила проактивки на мой взгляд в ручном использовании более-менее понимающего человека"), кто-то за песочницу. В связи с чем я сделал бы доступными два режима: экспертный, с акцентом на более детализированный ХИПС в добавку, и общий, с упором на песочницу, но не тУкую, какая есть, а тАкую, какая эффективнее - песочницу с эмуляцией "до" - для программ и процессов, плюс постоянную - для браузеров.

И вообще, когда что-то вписывается в пространство системного файла или любого драйвера, что делают все эти передовые технологии?

Erekle

Цитата:

Антивирус должен сэмулировать запуск в виртуальной среде при критическом коеффициенте подозрения и сообщить, что оно там вытворяет, опять же с коеффициентом подозрительности - это опасно, это слишком опасно, это недопустимо.

Вы осознаёте сложность такого механизма? И осознаёте, сколько багов в нём может быть, как сложно для него будет клепать базы новых механизмов отслеживания/эмуляции и сколько в итоге всё это будет стоить?

Цитата:

эвристик НОДа был лучшим

Ну тогда не НОДа, а Икаруса.

Цитата:

Кому этот рейтинг нужен после?

После чего? Приложению, а иногда и всей системе, и шагу не дают ступить во время анализа. Вы сами хоть раз испытывали на себе обнюхиватель КИСа в действии?

Цитата:

Да хоть оранжевую.

Можно

Цитата:

Другими словами, тут пересказ заветного подхода типа "ограниченный пользователь"

Вы абсолютно не понимаете, что такое "песочница" и что такое виртуальная среда Что тут тогда говорить....
Хотя - согласен: песочницу не нужно было в КИС добавлять, всё равно VMWare лучше.

А вообще - Вы многого хотите: чтобы антивирус всегда сам принимал решения на все угрозы, в том числе и неизвестные, при этом делал абсолютно верные упреждающие действия, мало и редко качал из инета, не тормозил систему (хм, а это как - если он всю её контролирует?) и ничего не стоил, а желательно - чтобы вендор ещё и прилпачивал за использование их продукта

Ребята, вы чё? Научной фантастики обчитались, пересмотрели "Терминатора" или хотите просто уволить всех админов? Чудес не бывает - Welcome to the real world, Neo! ©

Цитата:

Вы абсолютно не понимаете, что такое "песочница" и что такое виртуальная среда Что тут тогда говорить....

Понимаю...

Цитата:

многого хотите: чтобы антивирус всегда сам принимал решения на все угрозы, в том числе и неизвестные, при этом делал абсолютно верные упреждающие действия

Нет, только одного в итоге - чтобы предупреждал в случае, когда возможные действия чреваты. Вычислить такие действия, или проследить за ними, держа кнопку "Стоп" наготове, не очень сложно. Так кажется.

Erekle

Цитата:

Вычислить такие действия, или проследить за ними, держа кнопку "Стоп" наготове, не очень сложно. Так кажется.

К сожалению, сложно. Пример: винлокеры. Или вы считаете, что все вендоры - дебилы?

gjf
Цитата:

- Вы абсолютно не понимаете, что такое "песочница" и что такое виртуальная среда Что тут тогда говорить....

- Понимаю...

Согласен, со сравнением несколько не так выразился. Имел в виду "типа" - то есть совершать действия без доступа к критическим параметрам реальной системы; и дело не только в том, что метод эффективный и разумный для большинства, но и в том, что нужный уровень защиты иначе не обеспечен, и это не только Касперского касается.
Вообще-то, рад, что уже не подозреваете меня в админстве, спешу окончательно уронить мою "репутацию" об пол: я - "компютерщик" в моём офисе, и этим всё сказано. Из-за того, что требуется не ограничивать пользователей сверх минимума, и то индивидуально, у меня даже "домена Потёмкина" нет. В этом свои минусы и плюсы. А попал туда не по своей специальности историка, а благодаря сильного хобби к компу. Но если я более серьёзно заинтересовался системой несколько лет назад, то потому, что при посещении безвредного детского сайта ворвался троян, уложил Симантека-клиента в.10 и Аутпост в постель (в смысле - созданные им папки Бэкап), сам присвоил их имена, ярлыки, прописался везде вместо них, а они, оставаясь пустыми иконками в трее, ничего и не поняли. Так меня интерес взял, не злость: было смешно, что я защитил их от насилия.
Так почему они не поняли? Почему КИС, имея всё то, неэффективен в итоге? Можно ведь заострять внимание и на это в ответах. К примеру - КИС меня не нюхал, но других, как видим, плохо обнюхивает, вот и делаю вывод.
На КИС не наезжаю, а наоборот, - хочется, чтобы тот, располагая всем, что можно представить, справлялся с угрозой на должнем уровне; если уместна аналогия, раз многого дано, многое и ожидается, ведь с какого-нибудь рядового антивируса с сигнатурами такого спроса не будет.
Вычислить действия. Два года назад, кажется, вошла мода на типовые трояны с ДЛЛ-кой в Систем32, копией с расширением ДЛ_, и пропиской в службы и/или Винлогон. Плюс усложненные с перепроверкой ключей в реестре и пересозданием файла в памяти. Тогда ХИПСов и песочниц не было, или было в зачатке. Но не надо было быть гением, чтобы в поведенческий анализатор встроили алгоритм, что программа+процесс, совершающий эти несколько действий, крайне подозрительны и их следует притормозить и сообщить пользователю (в случае с вовлечением важного системного процесса уже поздно и сложно, но повторяю: с какой стати это вовлечение позволено какой-то там программке? Или, к слову, файловый вирус детектируется как определенный Салити в Svchost, но не детектируется по самому факту изменения этого файла? Разные методы изменения? Почему не протоколировать все и предугадать новые?). Прошло два года, но и сейчас какой-нибудь АВ детектирует такие заразы не иначе как сигнатурно?
Если известны шаги, предпринимаемые определенной, "хитовой" заразой, почему не включить этот сценарий - не в сигнатуры, конечно, а в... запутался уже, в какой модуль; если вирусописатель меняет детали, почему не вносить изменения с помощью... ну, соответстующей облачной технологии. Или всё это есть? Или работает эффективно, а я делаю поклеп?
Не дебилы вендоры, но - хоть НОД, хоть Икарус - почему они, а не другие?

Добавлено:
По ссылке с anti-malware.ru. Хотя обычный пользователь всё это вряд ли сделает.
Там ещё сказано, что "HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались." Значит, для среднего уровня нужно эти действия прописать в полу- или автоматические, новые места добавлять не юзерам на форуме, а аналитикам, взвешивать вероятность совпадения с легальным софтом, порядок принятия решения соразмерно с каждым ключом - с Run в щадящем режиме, с некоторыми - безоглядно и без спроса.
МНе-то что, я радуюсь, когда ХИПС спрашивает - ощущаещь, что держишь руку на пульсе.

Цитата:

МНе-то что, я радуюсь, когда ХИПС спрашивает - ощущаещь, что держишь руку на пульсе.

Немного личного мнения, можно?

Так поставьте себе сейфнсек либо др. хипс и балдейте от того, что Вам выскакивает окошко как минимум каждые полчаса(а нам здесь мозги иметь не надо).
ВСЯ индустрия программ, а не только антивирусная идёт к тому, что программы должны быть ЭРГОНОМИЧНЫМИ (то есть предельно простыми и удобными). Да это ведет к отупеванию обычного юверя и ламеризации - но извините на работе надо делать работу, а не читать, что пишет ХИПС или фаер(обычный юзверь втупую не читая жмет "да" или "нет" - сам лично не раз видел), и тем более устанавливать себе КИС и искать на антитвареру как его сделать круче (пусть блин этим Женя и его разрабы занимаются, а мне оно нахрен не надо, как и 99% юзверей. относятся эти слова ко всем производителям, а не только к Касперу).


Добавлено:
И ЕЩё поправьте свою ссылку. Не надо под марку уважаемого ресурса - делать ссылку на антитвареру!!!

George S

Цитата:

Да это ведет к отупеванию обычного юверя и ламеризации - но извините на работе надо делать работу, а не читать, что пишет ХИПС или фаер(обычный юзверь втупую не читая жмет "да" или "нет" - сам лично не раз видел), и тем более устанавливать себе КИС и искать на антитвареру как его сделать круче (пусть блин этим Женя и его разрабы занимаются, а мне оно нахрен не надо, как и 99% юзверей. относятся эти слова ко всем производителям, а не только к Касперу).

На работе обычный юзер не должен вообще ничего знать ни про ХИПС ни фаер и т.п. - для этого есть админ (не надо только расказывать что конторка маленькая и в ней всего один комп - пускай нанимают приходящего админа)!

P.S.
Цитата:

И ЕЩё поправьте свою ссылку. Не надо под марку уважаемого ресурса - делать ссылку на антитвареру!!!

На кухне своей указывай

VB100 (virus) test procedure

Sympathy

Цитата:

VB100 (virus) test procedure

Там у них есть "Kaspersky" и "Kaspersky AntiVirus 2010" - что за зверь этот "Kaspersky"?

Цитата:

и тем более устанавливать себе КИС и искать на антитвареру как его сделать круче (пусть блин этим Женя и его разрабы занимаются

Я другого говорил?
ОНИ и должны заниматься, и реагируя на новые угрозы, вносить изменения на лету. Появилась тенденция прописки в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths - блокируй через Ургенты или как там и всё. Чтобы быть не (только) эргономичным, но и ЭФФЕКТИВНЫМ. А то, глядя на эти локеры, появляется чувство, как в гоночном симуляторе, где нет автоматики, только ручная передача - жмешь на газ, а сурепкар ползет на 20 км. ВСЁ внедрено в КИСе, но неэффективно в итоге.

ХИПС меня спрашивает, и не КИСовский, и я научил его спрашивать по максимуму. Будьте уверены - когда антивирус молчал, ХИПС здорово помогал. И ещё с его помощью удостоверяюсь, можно ли вновь скачанную программу спокойно распределять по другим компам, где ХИПСа нет. Или проверять, пишет ли портабелная программа в реестр, и так далее. Но это для меня, а не рекомендация для других.
А на работе устанавливаемые мною Аваст и Антивир делают своё дело молча, юзеры довольны.

Цитата:

На кухне своей указывай

Я того же мнения. Ссылка как ссылка; пример в назидание и в добавку к сказанному, вы, очевидно, не так поняли, или устали читать мой длинний пост. За это извиняюсь, но не думаю, что в этой теме надо говорить только о сухих технических деталях - какой антивирус что делает и какой лучше по сравнению с другим. Не думаю, что слишком отошёл от темы.

Они разное подразумевают, например:
Kaspersky on Windows Server 2003 x64 Enterprise Edition
Kaspersky on Windows XP Professional
Kaspersky on Windows Server 2008
А что именно - надо смотреть в конкретном тесте

Erekle, позвольте спросить, чем ХИПС, да и проактивка в целом, Вам не угодили? У меня стоит KIS 2010, в самом параноидальном режиме. Каждое внесение/удаление из реестра (софт я ну очень редко ставлю) - алёрт, кто-то, кроме торрента и броузера лезет в сеть - алёрт. И всё, как Вы сказали, держишь руку на пульсе. А Вы каки хипсо пользуетесь?

Цитата:

Предлагаю в примечания добавить еще один пункт - "проверка лицензии винды"!

Цитата:

Угу. Я на компе в деревне установил для пробы два простых софта для графики, Malware Defender (которого подозреваю) и Defence Wall. После рестарта вылезло какое-то сообщение. Если у кое-кого из антивирусов такое имеется, надо об этом знать, и вообще, не их это дело.

Тут хватает тех - кто вообще почти ничего не понимают, форум то не только для знатоков.
Они глянув по таблице как то бы поняли что может быть сюрприз, а может появится еще какой антивирь с подобным, и желающий выбрать будет не в курсах. Я же не предлагаю описывать как ломать защиту винды. Для этого другие места
Кстати, кто еще думает что полезно было бы добавить такой пункт

WildGoblin

Цитата:

На работе обычный юзер не должен вообще ничего знать ни про ХИПС ни фаер и т.п. - для этого есть админ

Давайте-ка определимся: мы говорим про домашний компьютер или про корпоративный? Потому что когда пишешь про корпоративные решения - в ответ о том, что дома такое никто делать не будет, когда пишешь про дом - все пишут, что на работе доступа нет.