как выбрать антивирус

[Svitlofor 2]

A у нас в сітці найпоширеніший АVG 7( чомусь його ніхто тут не згадує), більшості подобається хоча є люди, які принципово користуються Касперським і НОДом.

[yojik 0]

Мдя судя по всему идти по ссылке всех ломает поэтому привожу статью с хакера

 

STOP: Очень расстроил это продукт. Заменяешь один байт в точке входа - файл не обнаруживается. Упаковываешь файл – та же картина: антивирус молчит. То же мне АВП… Ого…дак он еще и платный!!! Ужас…. Я согласен платить деньги за лицензионный софт… но он должен быть соответствующего уровня. Мда…

 

PANDA: КАК МОЖНО ПРОВОДИТЬ ДИСКУСИИ ПО ПОВОДУ, ЧТО ЛУЧШЕ ПАНДА ИЛИ ВЕБ, ПАНДА ИЛИ НОРТОН, ПАНДА ИЛИ АВП? ОНА ДАЖЕ НЕ УМЕЕТ РАСПАКОВЫВАТЬ СТАНДАРТНЫЕ УПАКОВЩИКИ! Люди не будьте слепыми. У панды только дизайн хороший.

 

F-Prot: аналогичен двум вышеперечисленным, единственное, что радует большущая база (более ста тысяч), но вот что-то я сомневаюсь, что тысяч 30 они туда не дописали вручную. Большой плюс этого продукта – он работает с вирусами для различных ОС (помимо Windows).

 

AVG Anti-Virus: никакого эмулятора. В основном смотрит только на точку входа, но иногда решается заглянуть в начало секции кода. Возьмем спуфку (я использовал Afx!AVSpoffer v.1.49by fij) и антивирус в 99% случаев молчал. 1% - находил вирус (смотрел на начало секции кода), но от упаковщика «умер» быстро. Меня заинтересовало вот что: если антивирус не имеет эмулятора и смотрит только в точку старта, значит, скорее всего, там нету и базы упаковщиков. Я просто упаковал червя UPX-ом (по-моему, более распространенного нету) и антивирус сразу замолчал. Как за такое деньги брать, не стыдно! Интерфейс тоже страдает, очень неудобный. Правда, оболочка – вещь индивидуальная… так что тут решайте сами!

 

Avast: включил, «натравил» его на Интернет-червя Qaz. Страшная табличка и женский голос «Waring there is a virus on your computer». Поменял один байт в точке старта - АВП продолжает «ругаться». Это приятно. После спуфки v.1.49 вирус дальше опознается. Эмулятора нету - это видно сразу. Попробую упаковать.

Хм… мне кажется упаковщики - самое эффективное средство против ВСЕХ антивирусов, спуфка - это так в помощь. В общем, антивирус умер. Попробуем упаковать оригинал. Как и ожидалось после простой упаковки UPX-ом антивирус утих. Поищем сигнатуру. Сигнатура для червя qaz хранилась по адресу .401f69 и после изменения этого байта антивирус замолчал. Странно, это ведь не начало секции, да и до точки старта далековато. Возникли подозрения, что он проверяет фиксированные адреса на короткие сигнатуры, что я и решил проверить, но к радости разработчиков это не оправдалось - червь Plage был опознан по ресурсам, а вот 3D stars по OEP. В общем, упаковщик у злоумышленника, и куча вирусов у вас на ПК.

 

AntiVIR: Так себе продукт. Ну давайте к делу. Qaz был спрятан спуфкой v.149 (при том, что уже есть спуфка 1.54). А вот с i.worm.Plage не удалось. Интересно, как он отреагирует на простой упаковщик. Мда…. Лень, наверное, авторам поддерживать кучу упаковщиков. Опять упаковщик сделал свое дело!

 

UNA аналогична вышесказанным. Дизайн слабоват. Распаковки упаковщиков – нет, даже самых популярных. Если спуфка не справляется, что бывает крайне редко, то, как всегда, используем упаковщик.

 

Trojan Remover: не опознал ни одного из "старых отцов". Из более новых Magistr'a и еще парочку опознал по ресурсам, похоже больше он никуда не смотрит. АВП написана не шибко грамотно, если не ошибаюсь, на Delphi, эмуляторов кода нет. Обновление базы сделано самым неудачным образом, который только можно встретить, база вирусов крохотная (около 8000) и, вообще, утилита для развлечения мне кажется, а еще и денег за нее просят.

 

Ну, теперь продукты поинтереснее.

 

КАВ: ну, во-первых, уж как только можно расхваливают свой продукт, а глюков там просто полно. Чего только стоят Error wrong pointer 000000 или то, что творилось с сетью в Windows XP, когда был установлен АВП. Да, я знаю, разработчики тут же скажут Wrong поинтеры только у меня появлялись, а с сетью глюк мы пофиксили: все мы люди, все мы ошибаемся. Ну... как говорится, бог им в помощь. Базу пополняют часто - это единственный аргумент, почему у меня стоит этот антивирус. В среднем за день 20-35 записей может и больше. База большая уже около 90000. НО! Реально база намного меньше, ибо они включают в нее всё что не попадя, а именно:

 

Эксплоиты, которые не являются вирусами и никогда ими не являлись, а то, что это деструктивные программы... так они деструктивны не для того, у кого они же и лежат. Я думаю, их добавляют для количества записей в базе.

ВирТузлы: например, те же самые спуферы, которые ТОЖЕ НЕ ЯВЛЯЮТСЯ ВИРУСАМИ ни в коем роде и даже не являются деструктивным ПО, поскольку предназначены только для образовательных целей (по крайней мере, я спуфкой только так и пользуюсь =)). Но таких программ в их базе довольно приличное количество. Я понимаю, если бы разработчики просто включили их в поддержку и продукт «узнавал» бы вирусы, обработанные спуфкой или упаковщиком – вот это дело! Но ведь они выносят эти вещи в отдельную запись. Опять крутят рейтинг…Дальше смешнее .

Клиенты бакдор троянов: я этого не понимаю. Да возможно разработчики заботятся о пользователях. Но ведь логично предположить, что если у пользователя на ПК лежит КЛИЕНТ (не сервер, а клиент), то значит пользователь знает что это такое и умеет им пользоваться…. Да и к тому же клиент троя не нанесет пользователю никакого вреда. Что если я напишу троян, которым надо управлять FlashGet’ом... то FlashGet - Win32.Trojan.FlashGet? Бред. Теперь если посчитать, что в базе 90 тысяч 50 из которых трояны удаленного администрирования с клиентами, то 25 тысяч мы оттуда вычтем КАК МИНИМУМ! Ибо не забывайте, что часто в комплект идут утилитки всякие, редакторы, и т.п., которые ТОЖЕ детектятся как ВИРУСЫ! Реальная база вирусов по моим оценкам около 40 тысяч. Остальные 50 - это бред.

 

А теперь о работе: когда спуфка v.149 обманывала этот антивирус простыми трюками, я понял, что эмулятор там не ахти. То ли им лень стараться, то ли они знают, что всё равно придумают способ и обойдут их эмуляторы. То ли им главное просто заработать денег на рынке. Эмулятор, по правде говоря, минимальный пытается что-то сделать но, как-то очень вяло. Антивирус больше рассчитан на сигнатурный поиск и прекрасно распаковывает практически все известные мне упаковщики, что тоже приятно. Весело и сразу печально то, что некоторые нехитрые комбинации, вроде mov eax,oep push eax retn срабатывают. Конечно, они это исправят очень скоро. А ведь это такой простой трюк... Печально...

 

А вот эмулятор Dr WEB’а просто на высоте. Я уважаю Данилова и их команду за такое творение. Распаковка почти всех известных мне упаковщиков, чудесная база (без таких проблем как у КАВ), приличная скорость сканирования. НО! Как всегда есть куча но:

 

1. Надоело качать постоянно новую версию. Неужели нельзя сделать так, чтобы старая работала с новыми базами.

2. Нарыл пару глюков. Несущественных, но раздражает.

3. Редко выходят апдейты баз. Надо хотя бы раз в два дня.

 

В остальном вроде ничего. В паре с КАВ работают хорошо. Не могу не сказать еще раз. Очень хороший эмулятор у веба. Рекогнизит прыжки на регистры, работу со стеком, вызовы фак. Функций - деление, умножение, сдвиги. Но облапошить такой эмулятор оказалось тоже несложно :-). Антивирус хороший, но вот трюк: спуфер + упаковщик + спуфер - не выдерживает. Впрочем, его не выдерживает НИКТО, кроме McAfee. В общем, софтина must have, но, по правде, денег я бы за нее не дал. Слишком много доработок нужно для начала сделать и базу почаще обновлять.

 

Нортон: так и не исправился, а жаль. Впрочем, им лучше клепать утилиты по уходу за ПК в стиле Disk\Win doctor (не в обиду будет сказано). Но фаервол и антивирус от Нортона, мягко говоря, не ахти. Сигнатуру к Сиркаму искал в секции кода и не смотрел на стартовый адрес совсем... Что означает, что любой упаковщик морочит ему голову моментально. Это сразу подтвердилось, когда я использовал спуфер, а потом упаковал червя упаковщиком ASPACK. Эмулятора нету. Апдейты тоже не очень частые. Не очень хороший продукт.

 

McAfee: действительно что-то стоящее. Большая, довольно грамотная база, быстрая скорость, неплохой дизайн. Сигнатуры для "Platana" имел аж ДВЕ: одну в ресурсах, вторую в ОЕП. С этим антивирусом пока лучше всех.

 

NOD: Господи, сколько сейчас тестов выходит, которые кричат нам о том, какой NOD обалденный антивирус. Что КАВ и Dr. WEB - это дети по сравнению с ним. Мда… плакать хочется. Ну да ладно… давайте посмотрим на него так сказать «изнутри». Итак, что-то я вам в общих словах рассказываю …говорю, что так и так АВП не видит вирус, потому что я его подправил в точке входа! Давайте на живом примере проверим хотя бы 1 антивирус! Возьмем самый известный на сегодняшний день mail-trojan - Pinch. Я выбрал именно его, потому что устал уже отвечать на вопросы: «А как спрятать Pinch от АВП?» Бррр… Берем чистый Пинч, прогоняем через NOD, дабы убедиться, что он в порядке и успешно опознается. Прогнали? Хорошо, а теперь давайте обработаем файл ASPack'ом и проверим его работоспособность. Вообще, сразу скажу, что после любых произведенных действий, обязательно проверяйте файл! Теперь его надо загнать в HIEW, сделать это можно выбрав файл в HIEW. Выделяем файл и нажимаем Enter. Зачем вам китайская письменность? Мне лично не нужна…поэтому жмем еще 2 раза Enter и переходим в ассемблерный режим. Теперь нам нужно найти первый байт точки входа 60h - это опкод команды PUSHAD, теперь ее нужно будет затереть любой однобайтной командой. Например, nop/90h, inc eax/40h, inc ebx/43h, ecx/41h, edx/42h, esi/46h, edi/47h и т.д. После этих производственных действий NOD молчит! Для КАВ этого было недостаточно… там я использовал внедрение подложных сигнатур. Вот вам и NOD….

 

Подводя итоги выше сказанному, хочу отметить, что как бы не старались спецы 100%-ного средства не будет никогда. Впрочем, они не для этого стараются, все это понимают. И самый надежный антивирус это умная голова и грамотные руки.

 

Если же из 2-х (в нашем случае 13) зол выбирать меньшее… то тут надо уточнить, что лучше держать на ПК несколько антивирусных пакетов (желательно отечественного и импортного производства). Тем кто очень любит КАВ придется несладко, т.к. этот антивирус очень не любит конкурентов. Так что вот… Пищу для размышлений я вам дал, примеры привел… Выбор за вами.

 

P.S. Учитывая что у меня большинство пользователей английский не знает мой выбор Dr Web

[deagle 0]

... Теперь нам нужно найти первый байт точки входа 60h - это опкод команды PUSHAD, теперь ее нужно будет затереть любой однобайтной командой. Например, nop/90h, inc eax/40h, inc ebx/43h, ecx/41h, edx/42h, esi/46h, edi/47h и т.д. После этих производственных действий NOD молчит! Для КАВ этого было недостаточно… там я использовал внедрение подложных сигнатур. Вот вам и NOD….

Все это конечно великолепно и очень по-кулхацкерски, но вот начать надо было с действующих при "тесте" опций эвристики...

Как насчет AMON->Настройка->Методы->Эвристический анализ и Расширенный эвристический анализ? Включали? Уверен, если включить, то непрокатят все эти битовые манипуляции, т.к. эмулируется выполнение кода.

[Флэшмобер 5]

У моего друга біл случай... писал он однажды троянчик... троянчик простяковый, подкидывался на комп жертвы внедрялся и предоставлял полное управления компом через TCP/IP. Так вот, писал он писал всё было хорошо... уже почти дописал... и тут чегойто взбрело ему в голову проверить своё творение на предмет обнаружения антивирями... и О ЧУДО и з проверявших (Symantech Norton Antivirus, Dr.Web, KAV и есесно NOD32) его троян распознал ТОЛЬКО NOD32 с включеным "Advansed heuristic"... И как после такого его не зауважать ?

[YARX 0]

А почему все забыли про UNA "класный антивирус"

[Флэшмобер 5]

Я тоже патриот, но всё же рулит НОД

[quotik 0]

кто подскажет какой антивир лучше поставить на сервак под Win Serv 2003?

да так чтоб памяти мало ел и конфликтов никаких не вызывал (если можно еще и с обновляющимися базами на UA-IX :00: )...

зарание презнателен.

[MARKUS 0]

Касперского ставь надёжно! Ну а если тачка слабая то панду!!

[Флэшмобер 5]

кто подскажет какой антивир лучше поставить на сервак под Win Serv 2003?

да так чтоб памяти мало ел и конфликтов никаких не вызывал (если можно еще и с обновляющимися базами на UA-IX :00: )...

зарание презнателен.

Eset NOD 32...

 

Чё тут ещё сказать...

[quotik 0]

в конечном итоге поставил Symantec...

и душа успокоилась... :00:

[vitalio 0]

Про НОД 32 скажу из опыта. Программа проц не загружает - это да, но в 98 Винде ставить не советую - очень часто глючит. В ХР такого не замечал, правда, мой друг установил его на 3 компа - и ни один после этого не запустился, снес - и всё ОК (думаю, шо фактор "кривых ручек":-)

[SAKE 0]

а как насчет BitDefender

я считаю класный антивирусник, простой в настройке как панда, по функциям тоже отлично

[Iron_Ko 0]

Лучший антивирус - это тот, которым умеешь пользоваться!

[centre-lan 1]

Лучший антивирус - это тот, которым умеешь пользоваться!

ну тогда поведай мне как быть если руки прямые и пользоватся умеешь любым антивирусом

ЗЫ я вобще ими не пользуюсь...

а в сети пропагандирую нод32.. ибо меня устраивает и побочных эфектов не вызывает..

ЗЫ2 на счет касперского - я вобще улыбаюсь.. всунули в антивирус антихакеры разные..

человек ставит галочку "вручную" ставит там все галочки при установке.. после чего звонит и говорит что у него неработает сеть..

[zulu_gluk 23]

NOD32 FOREVER! ЫЫЫЫЫЫЫЫЫ

[zulu_Radist 856]

NOD32 FOREVER! ЫЫЫЫЫЫЫЫЫ

)))))))))))))))

[Флэшмобер 5]

Ещё одним немаловажным достоинством НОДа является его функция АвтоАпдейта... Настолько удомного обновления я не видил ни у Касперского, ни у Др.Веба, ни у Симантеча, ни у Панды... а если ещё учесть, что в НОДе есть возможность создания зеркала для обновления всех компов в сети например, то тут помоему отдыхают все антивири.

Ещё хочу сказать, что пользую НОД уже скоро два года, за всё время не возникало абсолютно никаких претензий. Установив однажды о нём и о проблемах с вирусами забываеш навсегда...

[zulu_gluk 23]

Не знаю как в других антивирях, но НОД очень хорошо сканирует траффик - юзеров часто спасает от вирей, когда по порнухе лазят ))

[Kozyrniy 0]

.... Крылья, ноги.... Главное Хвост!

Согласен с Iron Ko "Лучший антивирус - это тот, которым умеешь пользоваться!"

Причем база здесь не всегда рулит. В Европе про анитивирусные базы и количество опозноваемых вирусов не кричат вовсе. VirBtn проходит - и то отлично, CheckMark получил - и спи спокойно. А если еще и систему не грузит - ну это вообще тогда сказка а не продукт!

Кстати прочел всю тему, а вот про Финов почему-то все умолчали. Есть такой интереснейший продукт - F-Secure на Украине он больше известен по своим программным решениям для мобильных терминалов (во всяком случае медиа аж трубят) но ведь корпоративные решения тоже не просто так создаются. А позиционирют они себя на уровне с Symantec и Трендами - тоже, дескать супер корпоративный продукт "всё в одном" для супер профессионалов! Смотрел - да настраивается не просто - но зато есть и положительные стороны - использование многоядерной системы поиска вирусов даёт возможность с большей вероятностью распознать зверюгу. Единая консоль управления -предоставляет админу всё чего душа пожелает. А клиентские модули - так это вообще песня - и антивирус, и фаервол, и тестирование веб трафика, и тестирование скриптов - вобщем всё как у всех но тем не менее продукт стоящий отдельного внимания..., причем как и большинство буржуев ребята выкладывают триальные версии всех продуктов на сайте - заходи кто хочешь, бери что хочешь!!! :-)

[KLN.NET 0]

Всем клиентам в сети ставит ESET NOD32.

У себя дома - тоже самое. До этого юзал АнтиВир, но он стал платный.

 

ЕСЕТ - РЕСПЕКТ!!! УВАЖАЮ!

[Kozyrniy 0]

Кстати моё личное мнение - антивирусы как таковые вскоре перестанут сущестовать, вернее остануться только для домашних пользователей и малых сетей (и то может со временем придуают что типа сетевых карт или модемов со встроенными антивирусами). А средние и большие сети перейдут на "железные" антивирусы. Сейчас немерянно буржуйских компаний выводят на рынок подобные решения. А в тестах учавствуют их софтовые аналоги - для получения всяких там разных VirBtn и т.д. Стоит правда такая штукенция пока что не мало, но зато и удобнее насколько.... Купил - включил и работай.

[KLN.NET 0]

1) Такое дойдёт не скоро, по крайней мере до нас.

2) Мир его тоже не доканца увидил.

3) Наверно релиза всё таки такой ноу-хау системы тоже нету.

4) У нас сетестроителей на Украине что действительно много денег?!

[Kozyrniy 0]

1) Такое дойдёт не скоро, по крайней мере до нас.

2) Мир его тоже не доканца увидил.

3) Наверно релиза всё таки такой ноу-хау системы тоже нету.

4) У нас сетестроителей на Украине что действительно много денег?!

1) Такое дойдёт не скоро, по крайней мере до нас.

- Несколько таких систем уже представлены на Украине, реально до конца года - думаю они будут более популярны...

2) Мир его тоже не доканца увидил.

Ну почему же в Европе такие системы уже активно продаются - и согласись зачем тебе будучи админу устанавливать на настроенную рабочую лошадку какой-то чужеродный софт, который с каждым релизом может содержать мелкие или не очень баги, если ты можешь поставить железяку которая будет производить те же смые действия + дополнительно иметь немерянно наворотов и преспокойно работать. А еще такая штука очень классно может быть использована при постронии комплексной системы антивирусной защиты - согласись 2 антивиря всегда лучше одного!

3) Наверно релиза всё таки такой ноу-хау системы тоже нету.

- Ой блин, - подобные системы есть и у Panda (Panda Antivirus GateDefender) и у F-Secure (F-Secure Messaging Security Gateway), также есть у TM (Trend Micro Network VirusWall), да еще компания FortiNet специализируется на выпуске таких вот систем, кстати последняя станет доступна в продаже на Украине где-то в начале осени, Панда собирается продавать эти решения на Украине где-то ближе к зиме, F-Secure - уже можно купить - но вот поюзать пока не удастся - пока что только под заказ. Да вобщем-то за этим будущее, а так как Украина в последнее время не приравниваеся к странам южно-африканскойрспублики по количеству компьютеров на душу населения... будут скоро и железные антивирусы и сети 3G и всё остальное что популярно и давно используется в мире!

 

4) У нас сетестроителей на Украине что действительно много денег?!

- Ну много или мало - это ж ты сам понимашь всё относитльно... Есть просто цена вопроса - а покупатель - он ведь на то и покупатль чтобы смотреть и сравнивать что ему выгодно поставить: сколько это будет стоить и какая будет отдача от вложенных среств... А подобные решения сейчас - да согласен может и не стоят в одну цену с программным обеспечением от Eseta или Каспера, но ведь и цены не стоят на месте - пока эти фишки новые - они соотв. и стоят относительно много но потом они то будут падать в цене как и всё остальное :-).

[KLN.NET 0]

Не ну всё понятно. Я ж не отрицал... !

У нас это ново, у нас это дорого. Понимаешь?!

А эт онаверн всё таки 2 главных фактора которые интересуют администрацию локальной сети.

Провайдерам типа ОПТИМА конечно, такое купить вообще понты. Денег хоть лопатой греби, поставщика с зарубежа тоже найти не проблема.

 

Ну конечно, безопасности удилят ьвнимание нужно как можно активнее!

[Kozyrniy 0]

Не ну всё понятно. Я ж не отрицал... !

У нас это ново, у нас это дорого. Понимаешь?!

А эт онаверн всё таки 2 главных фактора которые интересуют администрацию локальной сети.

Провайдерам типа ОПТИМА конечно, такое купить вообще понты. Денег хоть лопатой греби, поставщика с зарубежа тоже найти не проблема.

 

Ну конечно, безопасности удилят ьвнимание нужно как можно активнее!

Согласен, есть и минусы на данный момент - причем не только в цене, например варианты с поддержкой и установкой - это гуд - если админ толковый попадется, а ведь есть и такие что с манулом ничего не разберут, а внедрение подобной системы хотя и не сверх тяжелый аспект, но всё же немного придется потрудится... Но зато потом.... тишь и благодать :-). Если насроить нормально ;-). Предвидя следующую фразу - "Если настроить правильно - всё работать будет" - всё таки, как борец за тему, скажу - если бы на фиг никому не надо было и не приносило пользы то наверно и не создавали бы :-). Уж не серчайте господа за сий монолог!