Каждая программа оценивалась по 200 показателям. Эксперты провели четыре группы тестов на защиту от вредоносных программ: общий тест на защиту в онлайн-режиме, офлайн-тест, тест на уровень ложных срабатываний и тест на автоматическое сканирование и сканирование по запросу.
Удобство использования антивируса и его влияние на скорость работы компьютера в меньшей степени повлияли на итог рейтинга.
В ходе исследования эксперты изучили всего 23 платные и бесплатные антивирусные программы от разработчиков со всего мира, в том числе Bitdefender, Norton ,Avast, McAfee. Впервые в исследовании ICRT участвовали российские Kaspersky и Dr.Web Antivirus.
По итогам рейтинга, в десятку лучших антивирусов вошли Avast Free Antivirus, американский Norton Security Deluxe, а также английская программа BullGuard Internet Security.
Платная версия программы BitDefender Internet Security возглавила топ лучших антивирусов, на втором месте оказался Kaspersky Internet Security. Бесплатная версия Bitdefende Antivirus Free Edition заняла третью строчку.
Новый российский антивирус
Исследование показало, что большинство антивирусов обеспечивают защиту свыше 95% при желательных 97%. Также специалисты опровергли мнение, что платные программы всегда лучше бесплатных.
- Кибербезопасность
- Роскачество
Источник: rb.ru
Сравнительный анализ антивирусных пакетов отечественных производителей программного обеспечения
Исследовательская работа, в которой проанализированы технологии работы антивирусных пакетов. Рассмотрены области использования различных антивирусных программ отчественных проиводителей. Дан сравнительный рейтинг и рассмотрена гипотеза о наличии или отсутствии «лучшего» антивирусного пакета.
Скачать:
 Обзор антивирусных программ |
2.84 МБ |
Предварительный просмотр:
Чтобы пользоваться предварительным просмотром презентаций создайте себе аккаунт (учетную запись) Google и войдите в него: https://accounts.google.com
Подписи к слайдам:
Сравнительный анализ антивирусных пакетов отечественных производителей программного обеспечения научно-исследовательская работа Выполнил: Научный руководитель: Студент группы ВМ-09К Филиппова Н.В. Воронин С.В.
Введение Антивирусная программа (антивирус ) — любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. Предметом исследования функциональные возможности антивирусов и сервисные услуги производителей антивирусного программного обеспечения. Цель исследования произвести сравнительный анализ отечественных антивирусных программ по функциональным возможностям, сопровождению техническому и программному. Гипотеза: ни одна антивирусная программа не дает 100% защиту от вирусов, целесообразнее комбинировать программы с учетом приемлемого класса безопасности.
Лучший бесплатный антивирус — Dr Web Security Space (beta) 2022
Комплекс Kaspersky Security Center10 предназначен для удаленного и централизованного решения основных задач по управлению и обслуживанию системы антивирусной защиты, построенной на продуктах компании Лаборатории Касперского. Средства защиты от вредоносных программ Kaspersky Endpoint Security для бизнеса РАСШИРЕННЫЙ включает в себя новейшие технологии «Лаборатории Касперского» для защиты от вредоносных программ – сигнатурные, проактивные и облачные. Их сочетание позволяет создать эффективную многоуровневую систему обеспечения безопасности. Облачная сеть Kaspersky Security Network обеспечивает автоматическое получение обновлений, что способствует быстрой реакции на новые угрозы .
Защита рабочих мест и повышение эффективности IT-инфраструктуры Контроль и защита всех рабочих мест Шифрование данных Управление мобильными устройствами Средства системного администрирования Функциональность управления мобильными устройствами Общие функции Консоли администрирования Добавлена поддержка функциональности управления шифрованием данных для программы Kaspersky Endpoint Security 10 для Windows . Добавлены новые возможности для функциональности контроля программ — статический анализ правил контроля программ, категории на основе набора исполняемых файлов на эталонных компьютерах, отображение нескольких категорий для одного исполняемого файла. Функциональность системного администрирования Добавлена функциональность захвата и установки образов операционных систем.
Реализована централизованная удаленная установка сторонних приложений. Реализована централизованная удаленная установка обновлений операционных систем и приложений. Функциональность Windows Server Update Services теперь является частью Сервера администрирования . Добавлена функциональность контроля лицензионных ограничений и расширена функциональность реестра приложений. Добавлена функциональность реестра оборудования.
Сравнение возможностей продуктов компании Kaspersky
Компания ESET Интеллектуальные технологии защиты Высокая скорость работы и обнаружение угроз в реальном времени. Высокая оценка независимых экспертов Интерактивное сравнение Награды и сертификаты Успешные проекты
Технология пятого поколения ESET NOD32 ESET Live Grid — интеллектуальная облачная технология пятого поколения, на которой базируются антивирусные решения ESET NOD32 . ESET Live Grid представляет собой единый аналитический центр, осуществляющий управление всеми рабочими процессами антивирусной программы: анализ параметров работы компьютера оперативное отслеживание подозрительных процессов в системе автоматическая передача потенциально опасных программ в вирусную лабораторию ESET проверка репутации и уровня риска каждого запущенного приложения.
Области защиты информации Разработчики ESET первыми в антивирусной индустрии стали использовать эвристические методы детектирования и обнаружения новых вредоносных программ, не отраженных в сигнатурной базе антивируса. Технология ThreatSense ® — единый эвристический механизм, представляющий собой так называемую расширенную эвристику ( Advanced Heuristics ). В решениях ESET NOD32 эвристика – это технологическая платформа, на которой базируется работа всей системы. Эвристический метод используется для выявления около 90% нового вредоносного ПО. Для детектирования
NOD32 для Exchange Server обеспечивает проверку электронных сообщений в среде Microsoft Exchange Server . По сравнению с другими антивирусными модулями, устойчивая производительность NOD32 повышает надежность и пропускную способность. Простота в инсталляции Легкий графический интерфейс пользователя Непревзойденный сканирующий коэффициент Малое влияние на системные ресурсы Работает с MS Exchange Server 5.5 SP3, 2000 SP2, 2003 , 2008 Сканирует внутри архивов, самораспаковывающихся файлов и динамически сжатых в процессе выполнения файлов
Настройка обновления в программе ESET Smart Security 6 Пользователи антвируса Государственный сектор Администрация г. Перми Управление Госавтоинспекции ГУВД по Санкт-Петербурга и Ленинградской области. ИТ и телекоммуникации Panasonic CIS Paragon Software Group Компания « Мобайл Телеком-Сервис» (торговая марка NEO) Компания « ПетерСтар » ОАО «Газпром автоматизация» «1С» Наука и культура Государственный академический Мариинский театр в Санкт-Петербурге
Проактивное обнаружение Скорость сканирования Данные, полученные по результатам сканирования по требованию (МБ/с)
О компании Dr.Web Dr.Web эффективно детектирует и лечит от вирусов. Возможность установки и работы на уже инфицированном компьютере и исключительная вирусоустойчивость выделяют Dr.Web среди всех других аналогичных программ. Использование уникальных технологий обработки процессов в памяти и превосходные возможности по нейтрализации активного заражения позволяют успешно установить Dr.Web прямо на зараженную машину (без необходимости предварительного ее лечения) — даже с внешнего носителя без установки в систему (например, с USB-stick ) и уже в ходе установки проводить лечение активных угроз.
Мгновенная защита из «облака » Dr.Web ® Брандмауэр предназначен для защиты вашего компьютера от несанкционированного доступа извне и предотвращения утечки важных данных по сети. Высокий уровень самозащиты Способен полностью проверять архивы любого уровня вложенности. Реализована возможность обнаруживать и нейтрализовать вирусы, существующие в оперативной памяти и никогда не встречающиеся в виде отдельных файлов . Возможность установки и работы на уже инфицированном компьютере и исключительная вирусоустойчивость выделяют Dr.Web среди всех других аналогичных программ. В отличие от некоторых конкурирующих продуктов, модифицирующих ядро Windows (перехватывающих прерывания, подменяющих таблицы векторов, использующих недокументированные функции и т. д.), что может привести к серьезным проблемам в работе самой операционной системы, а также создает новые пути для использования уязвимостей . Возможность автоматического восстановления собственных модулей. Передовые технологии превентивной защиты FLY-CODE — не имеющая аналогов технология универсальной распаковки, которая позволяет обнаружить вирусы, упакованные даже неизвестными Dr.Web упаковщиками.
Dr . Web Security Space Dr . Web Security Space — включает 2 продукта, которые надежно защитят Ваш компьютер от интернет-угроз и обеспечат конфиденциальность хранящейся в нем информации – Dr.Web Security Space для безопасной работы с электронной почтой и в интернете и криптограф Atlansys Bastion Pro для надежного шифрования персональной информации . Компоненты защиты: антивирус, антируткит , антишпион , антиспам , веб-антивирус , родительский контроль, брандмауэр, криптограф . Ключевые функции: Возможность установки прямо на зараженную машину
Защита от вирусов, руткитов , троянских программ, шпионского и рекламного ПО, хакерских утилит Проверка входящего и исходящего почтового трафика на вирусы Защита от надоедливой интернет-рекламы ( adware ) Фильтрация спама и всех видов нежелательных сообщений без необходимости обучения антиспама Надежная проверка на лету входящего и исходящего http-трафика Эффективная защита детей от нежелательного контента Защита от несанкционированного доступа извне, предотвращение утечек важных данных по сети, блокировка подозрительных соединений на уровне пакетов и приложений Автоматические обновления. Возможность настройки обновлений с нужной частотой Сохранность информации и удаление ненужных Вам данных без возможности восстановления
Сертификаты Компания «Доктор Веб » получила статус Microsoft Certified Partner . Dr.Web получил сертификат «1C: совместимо» для Dr . Web Enterprise Security Suite для Dr.Web Security Space для Антивирус Dr.Web для Windows Зарегистрированные товарные знаки Свидетельство на товарный знак Dr.Web Свидетельство на товарный знак SpIDer Mail Свидетельство на товарный знак SpIDer Guard Свидетельство на товарный знак CureIt ! Свидетельство на товарный знак CureNet ! Свидетельство на товарный знак Dr.Web AV-Desk
Ведущие предприятия отрасли доверяют российской антивирусной программе Dr.Web защиту своих информационных ресурсов. Государственная Дума Федерального Собрания Российской Федерации Высший законодательный орган России. Россия, г. Москва, ул. улица Моховая, д. 7 WWW-адрес: www.duma.gov.ru Продукт: Dr.Web для почтовых серверов Unix , Dr.Web Desktop Security Suite Правовой уголок пользователя и личный кабинет в Dr.Web
Сравнительный анализ антивирусов Название антивирусного программного обеспечения Показатель надежности антивируса (первое полугодие 2012) Место с учетом AMTSO Dr.Web Security Space 0.921 1 место в ТОП 10 Eset Smart Security 0.923 2 место в ТОП 10 Kaspersky Internet Security 2010 0.941 4 место в ТОП 10 По оценкам независимых экспертов по степени надежности антивирусов имеем следующие результаты таблица № 1. Проанализируем функциональность антивирусов, и элементы сопровождения и взаимодействия с пользователями, таблица № 2
Показатель Dr.Web Security Space Eset Smart Security Kaspersky Internet Security 2010 Интернет защита есть есть есть Родительский контроль есть есть есть антиспам есть есть есть антируткит есть есть есть самоконтроль есть есть нет сопровождение есть есть есть Взаимодействие с пользователями есть есть есть Обучение пользователей есть нет есть Использование антивирусов в гос. секторе 100% 50% 50% Наличие технических партнеров есть есть есть Наличие антивирусных комплексов есть нет нет
Заключение Можно привести еще много критериев для сравнения, но одно можно сказать точно, все антивирусные пакеты многофункциональны, все параметры заявленные производителями соответствуют, нет плохого антивируса, и , нет антивируса который может на 100% обезвредить все вирусы. Это обусловлено многими факторами, в частности технологиями, подходами к построению программ, и в немалой степени тем, что считать вирусом и потенциально опасной программой. По собственному опыту и по общению со специалистами отдела сопровождения ОАО Роял Кредит банка могу сказать, лучше применять комплексную защиту, т.е. полифаг одного крупного производителя антивирусного программного обеспечения и сканер или вакцину другого производителя. Это повысит эффективность, увеличит безопасность и не снизит производительность работы компьютера или сети в целом.
Источник: nsportal.ru
Краш-тест отечественных антивирусов: Суровая проверка грандов AV-индустрии — победивших нет!
Как обычно тестируют антивирусы? Прогоняют их на специально заготовленных зловредах, пытаются всячески обойти эвристику, выбраться из песочницы. Таких тестов полно в Сети, но в этот раз все будет иначе. Мы будем проводить краш-тесты. Мы будем грубо ломать и выводить из строя самые крутые аверские поделки и в итоге узнаем, кто из них оказался самым крепким.
Сегодняшнее тестирование будут проходить две антивирусные программы. Первый испытуемый — Kaspersky CRYSTAL. Это ПО разрабатывалось специально для комплексной защиты пользовательского компьютера.
В Кристале, помимо классического сканера и резидентного проактивного модуля, есть также средства родительского контроля, шифрование данных, менеджер паролей, которые для нас особой ценности сегодня не представляют. Вторым кандидатом на уничтожение будет Dr.Web Security Space Pro. Его функционал чуть беднее. Нет менеджера паролей, виртуальной клавиатуры и прочих полезных и не очень фич.
Антивирус предназначен для комплексного противодействия интернет-угрозам в сочетании с дополнительной защитой от сетевых атак благодаря встроенному брендмауэру.
Оба антивируса очень популярны в России, а Kaspersky еще и входит в мировую пятерку самых продаваемых программ для защиты от зловредов.
Принцип тестирования
Для проверки антивирусов на прочность мы разработали пять собственных тестов. Некоторые тесты представляют собой специально написанные программы, другие можно выполнить вручную с помощью стандартных инструментов Windows. Кстати, все испытания проводятся в Windows XP Professional SP3. За прохождение каждого теста будет выставляться оценка по пятибальной системе — совсем как в школе.
Единицы, конечно, мы никому ставить не будем, но и завышать баллы за способность к выживанию — не в наших правилах. В конце мы подсчитаем среднеарифметическое всех оценок и посмотрим, кто оказался самым стойким.
Теперь немного о самих тестах. Так как мы тут проводим не абы что, а краш-тестирование, то и испытания у нас будут соответствующие. Основная их цель — вывести из строя антивирусное ПО как можно незаметнее для пользователя. Если в результате выполнения того или иного теста защитные функции наших кандидатов «на уничтожение» перестали работать, то антивирь получает жирную двойку.
В противном случае мы будем смотреть, как ПО справилось с проблемой. Если перед смертью ему удалось выдать какое-нибудь сообщение — начисляем трояк. Как уже было сказано выше, краш-тестов будет всего пять. Первый тест будет тупо пытаться удалить самые важные бинарные файлы дистрибутива антивируса. Но не просто удалить, а удалить при загрузке ОС с помощью специальной API-функции.
Второй будет делать то же самое, но при этом еще и хитро шифровать имя удаляемого файла, чтобы антивирь не догадался, что его хотят стереть с практически собственного жесткого диска. Третий тест, опять же, удаляет жизненно важные файлы, но при этом скрывает это, маскируя вызов смертоносной API-функции под совершенно безобидный код.
Четвертое и пятое испытание стоят особняком, поскольку будут выполняться с помощью стандартных средств ОС Windows — никаких специальных утилит мы писать не будем. Разумеется, при желании все это можно реализовать и программно. Итак, один из тестов будет запрещать запуск антивируса посредством политик безопасности, а второй попробует деинсталлировать ПО без лишнего шума и пыли. Итак, когда мы немного разобрались с тем, что будем делать, приступим непосредственно к краш-тестам.
Тест №1
Первый тест будет производиться с помощью специально написанной утилиты. В командной строке мы передадим ей полное имя файла, который хотим удалить при следующей загрузке ОС. Программа вызовет системную функцию MoveFileEx, которая может перемещать файлы и папки. Первый ее параметр — это полное имя перемещаемого файла, второй — куда будем перемещать, а третий — флаг, который задает некоторые опции перемещения. Если второй параметр оставить пустым, то есть передать NULL вместо строки с новым местом хранения, а в качестве флага установить значение MOVEFILE_DELAY_UNTIL_REBOOT, то нужный нам файл будет удален во время загрузки ОС.
Все просто. Всего одна функция, и никакого хитроумного кода. Такую утилитку может написать даже ученик средней школы. Теперь проверим, как она подействует на наши антивирусы. Первым по списку идет Kaspersky CRYSTAL.
Если посмотреть в менеджер процессов, то мы увидим, что Каспер два раза запустил avp.exe.
Одна копия запущена с системными привилегиями, а вторая — с правами активного в данный момент пользователя. Удалять будем именно этот файл, который по умолчанию лежит в папке «%programfiles%Kaspersky LabKaspersky CRYSTAL».
Запускаем утилиту, передав ей в качестве одного из параметров полное имя экзешника и … Кристал начал ругаться на нашу тестовую утилиту, определив ее рейтинг опасности как «высокий». Если бы это был реальный зловред, то пользователю пришлось бы решать, разрешить подозрительной программе выполниться или нет. Если все-таки дать свободу нашей утилите, то после ребута системы антивирус не запускается. Программа сделала свое дело и удалила главный бинарник Касперского. В случае запрета выполнения подозрительной тулзы все будет хорошо — avp.exe останется на своем месте и по-прежнему будет радовать пользователей красивой иконкой в трее.
Итак, Kaspersky CRYSTAL прошел первое испытание, но, к сожалению, всего лишь на троечку. Очень часто пользователи жмут на кнопку «Да» не читая, что там пишут.
Следующее защитное ПО — Dr.Web Security Space Pro. В отличие от CRYSTAL, Доктор Веб состоит из множества исполняемых exe-файлов, каждый из которых ответственен за свою функцию. Но удалить мы попробуем самый главный бинарь, который, как и в Касперском, запускается от имени системы — dwengine.exe. Тестовая утилита удаления отработала без проблем, Доктор даже не пискнул.
Но посмотрим, что будет после перезагрузки. А после нее все осталось на своих местах — анитвирус как новенький! Ну что же, попробуем стереть какой-нибудь другой важный файл, например, утилиту обновления или базы с сигнатурами. После нескольких запусков смертоносного кода и перезагрузки компьютера Доктор остается жив, и поэтому получает за первое испытание твердую пятерку.
Никакого шума, никаких вопросов к пользователю. Просто не удаляется :).
Тест №2
Второй краш-тест очень похож на первый, но с одним единственным отличием — путь к удаляемому файлу мы передаем в зашифрованном виде. Процедура шифрования тоже не совсем простая. Мы используем специальный трюк, чтобы обмануть эвристики наших антивирусов. Подробнее об этом можно почитать во врезке. А пока посмотрим, как справятся с этим испытанием Касперский и Доктор Веб.
Первый в очереди — Kaspersky CRYSTAL. Предварительно зашифровав путь к avp.exe, мы передаем его нашей утилите. Реакция Кристала на второй тест полностью совпадает с реакцией на первый. Антивирус предложил выбрать, что делать с подозрительной программой. В случае, если мы разрешаем ее выполнение, после перезагрузки Kaspersky не загрузится.
Итог: второе испытание Каспер тоже проходит на тройку.
Ситуация с Dr.Web полностью идентична предыдущей. Все попытки удалить какие-либо файлы, требуемые для его работы, потерпели неудачу. Не удалялся даже банальный license.txt! За такую стойкость Доктор Веб получает пять.
Тест №3
Третье испытание также будет удалять нужные для антивирусного ПО файлы, но при этом будет маскировать сам факт попытки удаления. Как говорилось выше, для того, чтобы стереть файл при загрузке ОС, нужно функции MoveFileEx в качестве одного из параметров передать флаг MOVEFILE_DELAY_UNTIL_REBOOT. Именно этот флаг мы и замаскируем под нечто безобидное, что позволит усыпить бдительность эвристики.
На запуск теста с маскировкой удаления Kaspersky CRYSTAL никак не прореагировал. Сообщение, в котором бы говорилось об опасной программе, не появилось. Может быть, Кристал блокирует эту угрозу втихаря? Перезагружаем, и. нет. Касперский провалил этот тест.
ПО не запустилось, avp.exe исчез с жесткого диска без какихлибо следов. Маскировка удаления файлов принесла свои плоды.
Анализатор кода CRYSTAL не смог распознать угрозу и поплатился за это. Результат: двойка и ничего, кроме двойки. А что же с Dr.Web? Провалит ли он, наконец, хоть одно испытание? Как оказалось, нет. Доктор тверд, как скала.
Никакие хитрые попытки удалить важные файлы его не берут. А все из-за того, что доступ ко всем нужным и ненужным бинарникам из дистрибутива Веба был заблокирован на уровне файловой системы. Такой подход решил все проблемы с вандализмом. Просто так поменять эти права у нас не получится, все гайки закручены очень крепко. Заслуженная пятерка.
Тест №4
Следующий тест мы будем проводить с помощью стандартных инструментов Windows XP Professional. В главном меню системы выберем пункт «Выполнить. » и впишем туда следующее: gpedit.msc. Откроется консоль с групповыми политиками. Там выберем «User Configuration», затем «Administrative Templates», «System». Справа найдем «Don’t run specified Windows applications».
Эта опция позволяет запретить запуск определенных программ на основе их имени.
Для Касперского мы будем блокировать avp.exe. Прописав запрет на его запуск в политиках Windows, мы перезагружаем компьютер и смотрим на результат. После старта системы Kaspersky CRYSTAL работает, как ни в чем не бывало. Запустился не только сервис с правами системы, но и процесс с привилегиями текущего пользователя. Похоже, это первая пятерка у Каспера.
Поздравляем! С Dr.Web ситуация чуть хуже. Блокирование запуска dwengine.
exe никак не повлияло на работу Доктора, а вот если прописать в политиках имя сканера, то он не запустится. Таким же образом парализуется работа SpIDer Guard. Никакие сообщения при запуске какого-нибудь зловреда пользователю показаны не будут. Но стоит отметить, что защитные функции антивирус потерял не полностью.
Он выполнит действия, заложенные в настройках по умолчанию, например, бережно перенесет вирус в карантин, но пользователь об этом, к сожалению, ничего не узнает. Доктор Веб получает четверку.
Тест №5
В пятом и последнем испытании мы попытаемся полностью удалить защитное ПО с помощью штатного инсталлятора. Но удалить так, чтобы пользователь ничего не заметил. Практически у всех современных инструментов для развертывания приложений в системе есть так называемый «тихий режим», когда пользователю не задается никаких лишних вопросов. Вот с помощью этого режима мы будем тестировать антивирусы.
Для «невидимой» деинсталляции Kaspersky CRYSTAL нужно выполнить следующую команду:
msiexec /quiet / uninstall
Ключ /quiet означает, что пользователь не увидит ни одного окна, касающегося процесса анинсталла. Идентификатор в фигурных скобках уникален для установленного дистрибутива Кристал. После выполнения этой команды Касперский не выдает никаких сообщений, касающихся попытки его удаления, но и сама деинсталляция как таковая завершается неудачей. Каспер справился с испытанием — без лишнего шума он пресек попытку несанкционированного удаления. Вторая пятерка.
Для тестирования Dr.Web была выполнена та же команда, с той лишь разницей, что был заменен идентификатор дистрибутива. Через некоторое время после запуска msiexec с нужными параметрами на экране появился диалог с предложением отключить модуль самозащиты и ввести капчу. В случае правильного набора цифрового кода Доктор исчезнет с компьютера пользователя навсегда.
То, что Доктор Веб спросил разрешения об отключении самозащиты — это хорошо, но плохо, что он не сообщил нам причины, по которой самозащита отключается. Неопытный юзер может подумать, что так нужно, и с чистой совестью ввести капчу. В итоге Dr.Web получает тройку, поскольку непонятные окошки с непонятным текстом — дурной тон.
Итоги
На этом все. Пять ужасных испытаний пройдены. Некоторые хуже, некоторые лучше. Но ни Kaspersky CRYSTAL, ни Dr.Web Security Space Pro не смогли сдать все тесты на отлично. Для большей наглядности можно посмотреть в таблицу с оценками и вспомнить, как это было.
Kaspersky Crystal vs DR.Web Security Space PRO
Итоги: Доктор Веб оказался устойчивей ко всяким деструктивным выпадам в его сторону. Он хорошо защитил свои файлы на уровне ФС и смог противостоять жестоким политикам безопасности Windows. А его модуль самозащиты не позволит злоумышленникам тихо и незаметно удалить антивирус. Касперский справился чуть хуже. Главной проблемой для него стал замаскированный вызов MoveFileEx с флагом MOVEFILE_DELAY_UNTIL_REBOOT. Итоговая оценка за краш-тестирование:
- Kaspersky CRYSTAL — 3.6 балла,
- Dr.Web Security Space Pro — 4.4 балла.
Трюк с ключом шифрования
Для шифрования пути к файлу во втором тесте и маскировки передачи флага MOVEFILE_DELAY_UNTIL_REBOOT функции MoveFileEx в третьем использовался специальный трюк, который позволяет обойти эвристические анализаторы антивирусного ПО. Если мы сохраним ключ для расшифровки некой строки в памяти программы напрямую (в виде константы или передаваемого значения), то анализаторы кода смогут отследить всю цепочку использования этого ключа и в конце получить исходную информацию в раскриптованном виде.
Но ключ можно сформировать из двух частей: базовая и псевдослучайная части. Базовая часть — это просто число, которое хранится в памяти. Весь фокус в псевдослучайной части. Ее надо сгенерировать так, чтобы эвристическая машина не смогла проанализировать код генерации. Сделать это можно, вызвав некоторую системную функцию с такими параметрами, которые приведут к однозначному результату:
DWORD pseudoRandomDigit(const DWORD digit)
fopen(«dsjklfjsdlk», «r»);
DWORD err = ::GetLastError();
return digit + err;
>
Функции pseudoRandomDigit передается базовая часть ключа. После этого мы пытаемся открыть несуществующий файл, в результате чего получим вполне определенный код ошибки. Прибавляя этот код к базовой части ключа, мы лишаем эвристические анализаторы всякой надежды понять, что же все-таки произошло. В результате чего антивирус не может расшифровать строку, а, следовательно, и предъявить какие-либо претензии.
Источник: xakep.ru