09.01.2011, 20:50
Cześć.
Ostatnio postanowiłem zabrać się za test znanych, darmowych antywirusów.
Sprawdzałem detekcję oraz rozwiązania proaktywne - tych programów, które je posiadają.
Zapraszam do krótkiej lektury.
1. Test detekcji - skan na żądanie
a)Wprowadzenie.
Już najwcześniejsze antywirusy opierały się na tej metodzie rozpoznawania złośliwego kodu.
Producenci oprogramowań antywirusowych tworzą black list, naktórej znajdują się "wizerunki" Znanychwirusów.
Jest to rozwiązanie zawodne. Żaden antywirus nie wykryje 100% wirusów obecnych w tej chwili.
Wyniki nie różnią się diametralnie od siebie. Ma to na celu ukazanie skuteczności (chociaż przybliżonej) wspomnianych aplikacji.
b)Metodyka testów.
Programy były konfigurowane tylko w specjalnych przypadkach. Gdy antywirus miał odznaczoną opcję skanowania w poszukiwaniu potencjalnie niebezpiecznych aplikacji - zaznaczałem ją.
Wyniki przed i po zaznaczeniu tej opcji znacznie się różniły, więc pozostawienie jej odznaczonej mogło spaczyć wyniki testów w porównaniu do programów, które miały ją zaznaczoną domyślnie.(była to Avira i Avast!)
Każdy program został zaktualizowany i folder 40 000 plików był skanowany do skutku (aż program nie znalazł już żadnych zagrożeń).
Niektóre testowane aplikacje miały z tym wybitny problem. Dajmy na to Comodo - przeprowadziłem 10 skanów, które trwały długo - mimo to, za każdym razem znajdował garstkę wirusów. Jest to ewidentny błąd. W końcu "darowałem sobie" i zostawiłem go z wynikiem uzyskanym do tamtej pory.
Lista programów, które wzięły udział w teście:
AVIRA
AVAST
COMODO
Immunet
AVG
Returnil
Wynik procentowy i wynik ogólny kwestionowany był z ilości zostawionych plików w folderze.
Programy pogrubione brały udział w teście proaktywnym, o czym dalej.
WAŻNE: Nie wszystkie pliki były zainfekowane. Z źródła nam znanego, około 3% z nich jest czystych.
c) Wyniki, komentarz.
Wyniki detekcji rozłożyły się w ten sposób:
AVIRA 38 661- 96.66%
AVAST37 717- 94.29%
COMODO38 660 - 96.65%
Immunet38 208 - 95.52%
AVG 38 109 - 95.27%
Returnil 34 700- 86.75%
Programy w kolejności od najlepszego wyniku do najgorszego:
1. Avira96.66%
2. Comodo96.65%
3. Immunet95.52%
4. AVG95.27%
5. Avast94.29%
6. Returnil86.75%
Jak widać wyniki są do siebie mocno zbliżone. Wszystkie programy( oprócz Returnila - jednak u niego główną funkcją zabezpieczającą jest wirtualizacja, podobnie u Comodo - Defense + i piaskownica) wypadły bardzo dobrze. Jedynie Avast miał małe problemy z usuwaniem niektórych zagrożeń. Oklaski dla Returnila, który skanował najdłużej - mimo wszystko, był tak lekki w tym czasie,że można było normalnie używać komputera.
Detekcja to nie wszystko - co z malware, które nie zostało wykryte?
2. Część proaktywna.
Uwaga. Ta cześć dokładnie nie obrazuje skuteczności rozwiązań proaktywnych. Test tylko na 4 próbkach jest bardzo niemiarodajny i ubogi. Niemniej jednak miał on na celu zobrazowanie , chociaż w małym stopniu jak zachowują się 3 programy, w zetknięciu w niewykrywalnymi wirusami.
a)Wprowadzenie.
Jedynie 3 programy z powyższej listy - Avast, AVG i Comodo oferują mechanizmy, które potrafią rozpoznawać(czy też : kontrolować) poczynania aplikacji i kwalifikować ją jako niebezpieczną(bądź podlegać ocenie użytkownika). Ma to na celu walkę z nieznanymi jescze (nie dodanymi do Black List) zagrożeniami. Wiele, wiele wirusów, które powstają codziennie w liczbie kilkunastu tysięcy stanowią realne zagrożenia dla sytemu, a są nie wykrywane przez wiodące marki AV. Z pomocą przychodzą takie cuda jak HIPSy, skanery behawioralne i inne (wirtualizacja też)
b)Metodyka.
Zgromadziłem 4 losowe próbki malware, a były to:
1.247c4a33a094a5b63e3a8f485e58deb8.exe - Troj.Agent
2.dd4b161c1f4768599c3ff13b1a2bfee4.exe - Troj.FakeAlert
3.cleaner.exe1.exe - Troj.Clicker
4.pornoplayer.exe - Troj.Ransom
Nazwy zagrożeń wygenerowane przez MBAM.
Każda z nich była uruchamiana po kolei i obserwowane było zachowanie programów antywirusowych. Proces był śledzony programem KillSwitch.
O to spostrzeżenia:
Comodo
Cyfra oznacza złośliwy program(lista wyżej).
1.Wirus zażądał zmodyfikowania chronionego pliku lub katalogu. Po zablokowaniu
tego działania proces zakończył się - malware przestał działać w pamięci.
2.Po zablokowaniu żądania utworzenia pliku w chronionym katalogu oraz
zablokowaniu żądania uruchomienia pliku "taskkill.exe" aplikacja zakończyła
swoje działanie.
3.Proces żądał zmiany chronionego klucza rejestru odpowiedzialnego za autostart.
Następnie próbował zmodyfikować chroniony interfejs COM. Mimo zablokowaniu tych
alertów proces cały czas egzystował w pamięci operacyjnej. Po uruchomieniu
systemu ponownie nie stwierdzono obecność złośliwego kodu.
4.Po uruchomieniu, a raczej przed uruchomieniem zapobiegł moduł Defense +.
Analiza heurystyczna Defense + ostrzegła,że program jest podejrzany, więc
zablokowano tę czynność.
AVG
1.ID Protection wykrył podejrzane zachowanie i zablokował wirusa.
2.Brak reakcji.
3.Brak reakcji.
4.Brak reakcji - wirus wymusił zamknięcie systemu.
Avast!
1.Avast zablokował żądanie o dodanie się programu do autostartu i aplikacja
zakończyła swoje działanie.
2.Avast nie pozwolił aby aplikacja dodała się do autostartu, jednak mimo to
SecurityShield zainstalował się pomyślnie.
3.Brak reakcji.
4.Avast zablokował dodanie się aplikacji do autostartu, mimo to wirus wymusił
restart.
***
UWAGA. Jest to AMATORSKI test i nie powinien być wyrocznią dot. skuteczności danego programu.
Proszę nie wysuwać żadnych pretensji, jeśli antywirus A " przepuścił wirusa" a w teście u Morphiusza był super.
Dzięki, mam nadzieję,że moje wypociny chociaż miło sięczytało
.
Ostatnio postanowiłem zabrać się za test znanych, darmowych antywirusów.
Sprawdzałem detekcję oraz rozwiązania proaktywne - tych programów, które je posiadają.
Zapraszam do krótkiej lektury.
1. Test detekcji - skan na żądanie
a)Wprowadzenie.
Już najwcześniejsze antywirusy opierały się na tej metodzie rozpoznawania złośliwego kodu.
Producenci oprogramowań antywirusowych tworzą black list, naktórej znajdują się "wizerunki" Znanychwirusów.
Jest to rozwiązanie zawodne. Żaden antywirus nie wykryje 100% wirusów obecnych w tej chwili.
Wyniki nie różnią się diametralnie od siebie. Ma to na celu ukazanie skuteczności (chociaż przybliżonej) wspomnianych aplikacji.
b)Metodyka testów.
Programy były konfigurowane tylko w specjalnych przypadkach. Gdy antywirus miał odznaczoną opcję skanowania w poszukiwaniu potencjalnie niebezpiecznych aplikacji - zaznaczałem ją.
Wyniki przed i po zaznaczeniu tej opcji znacznie się różniły, więc pozostawienie jej odznaczonej mogło spaczyć wyniki testów w porównaniu do programów, które miały ją zaznaczoną domyślnie.(była to Avira i Avast!)
Każdy program został zaktualizowany i folder 40 000 plików był skanowany do skutku (aż program nie znalazł już żadnych zagrożeń).
Niektóre testowane aplikacje miały z tym wybitny problem. Dajmy na to Comodo - przeprowadziłem 10 skanów, które trwały długo - mimo to, za każdym razem znajdował garstkę wirusów. Jest to ewidentny błąd. W końcu "darowałem sobie" i zostawiłem go z wynikiem uzyskanym do tamtej pory.
Lista programów, które wzięły udział w teście:
AVIRA
AVAST
COMODO
Immunet
AVG
Returnil
Wynik procentowy i wynik ogólny kwestionowany był z ilości zostawionych plików w folderze.
Programy pogrubione brały udział w teście proaktywnym, o czym dalej.
WAŻNE: Nie wszystkie pliki były zainfekowane. Z źródła nam znanego, około 3% z nich jest czystych.
c) Wyniki, komentarz.
Wyniki detekcji rozłożyły się w ten sposób:
AVIRA 38 661- 96.66%
AVAST37 717- 94.29%
COMODO38 660 - 96.65%
Immunet38 208 - 95.52%
AVG 38 109 - 95.27%
Returnil 34 700- 86.75%
Programy w kolejności od najlepszego wyniku do najgorszego:
1. Avira96.66%
2. Comodo96.65%
3. Immunet95.52%
4. AVG95.27%
5. Avast94.29%
6. Returnil86.75%
Jak widać wyniki są do siebie mocno zbliżone. Wszystkie programy( oprócz Returnila - jednak u niego główną funkcją zabezpieczającą jest wirtualizacja, podobnie u Comodo - Defense + i piaskownica) wypadły bardzo dobrze. Jedynie Avast miał małe problemy z usuwaniem niektórych zagrożeń. Oklaski dla Returnila, który skanował najdłużej - mimo wszystko, był tak lekki w tym czasie,że można było normalnie używać komputera.
Detekcja to nie wszystko - co z malware, które nie zostało wykryte?
2. Część proaktywna.
Uwaga. Ta cześć dokładnie nie obrazuje skuteczności rozwiązań proaktywnych. Test tylko na 4 próbkach jest bardzo niemiarodajny i ubogi. Niemniej jednak miał on na celu zobrazowanie , chociaż w małym stopniu jak zachowują się 3 programy, w zetknięciu w niewykrywalnymi wirusami.
a)Wprowadzenie.
Jedynie 3 programy z powyższej listy - Avast, AVG i Comodo oferują mechanizmy, które potrafią rozpoznawać(czy też : kontrolować) poczynania aplikacji i kwalifikować ją jako niebezpieczną(bądź podlegać ocenie użytkownika). Ma to na celu walkę z nieznanymi jescze (nie dodanymi do Black List) zagrożeniami. Wiele, wiele wirusów, które powstają codziennie w liczbie kilkunastu tysięcy stanowią realne zagrożenia dla sytemu, a są nie wykrywane przez wiodące marki AV. Z pomocą przychodzą takie cuda jak HIPSy, skanery behawioralne i inne (wirtualizacja też)
b)Metodyka.
Zgromadziłem 4 losowe próbki malware, a były to:
1.247c4a33a094a5b63e3a8f485e58deb8.exe - Troj.Agent
2.dd4b161c1f4768599c3ff13b1a2bfee4.exe - Troj.FakeAlert
3.cleaner.exe1.exe - Troj.Clicker
4.pornoplayer.exe - Troj.Ransom
Nazwy zagrożeń wygenerowane przez MBAM.
Każda z nich była uruchamiana po kolei i obserwowane było zachowanie programów antywirusowych. Proces był śledzony programem KillSwitch.
O to spostrzeżenia:
Comodo
Cyfra oznacza złośliwy program(lista wyżej).
1.Wirus zażądał zmodyfikowania chronionego pliku lub katalogu. Po zablokowaniu
tego działania proces zakończył się - malware przestał działać w pamięci.
2.Po zablokowaniu żądania utworzenia pliku w chronionym katalogu oraz
zablokowaniu żądania uruchomienia pliku "taskkill.exe" aplikacja zakończyła
swoje działanie.
3.Proces żądał zmiany chronionego klucza rejestru odpowiedzialnego za autostart.
Następnie próbował zmodyfikować chroniony interfejs COM. Mimo zablokowaniu tych
alertów proces cały czas egzystował w pamięci operacyjnej. Po uruchomieniu
systemu ponownie nie stwierdzono obecność złośliwego kodu.
4.Po uruchomieniu, a raczej przed uruchomieniem zapobiegł moduł Defense +.
Analiza heurystyczna Defense + ostrzegła,że program jest podejrzany, więc
zablokowano tę czynność.
AVG
1.ID Protection wykrył podejrzane zachowanie i zablokował wirusa.
2.Brak reakcji.
3.Brak reakcji.
4.Brak reakcji - wirus wymusił zamknięcie systemu.
Avast!
1.Avast zablokował żądanie o dodanie się programu do autostartu i aplikacja
zakończyła swoje działanie.
2.Avast nie pozwolił aby aplikacja dodała się do autostartu, jednak mimo to
SecurityShield zainstalował się pomyślnie.
3.Brak reakcji.
4.Avast zablokował dodanie się aplikacji do autostartu, mimo to wirus wymusił
restart.
***
UWAGA. Jest to AMATORSKI test i nie powinien być wyrocznią dot. skuteczności danego programu.
Proszę nie wysuwać żadnych pretensji, jeśli antywirus A " przepuścił wirusa" a w teście u Morphiusza był super.
Dzięki, mam nadzieję,że moje wypociny chociaż miło sięczytało
.
