Уже тема поднималась неоднократно, просто с выходом новой версии DrWeb'a поднялась снова - какой антивирус выбрать...Предлагаю обсудить антивирусы (именно те, которые стоят на ваших домашних\рабочих компах), их плюсы и минусы. За основу думаю стоит взять наиболее популярные программы, т.к. проводить тестирование по обнаружению вирей желания нету.. Критериев несколько - скорость работы сканера, монитора, системы после установки антивиря, возможность и размеры автоматического обновления баз, разнообразие настроек. Ну и железо, на котором антивирь стоит.
Я ставил каспера 5.0 на домашний и на рабочий комп - тормоза при включенном сканере наблюдались капитальные, плюс на рабочем компе некоторые безобидные тулзы были удалены без ведома юзера (т.е. меня). К тому же полная проверка дисков висла на одном из архивов бух.проги, а после исключения из списков проверки найденные вири удаляться отказывались - каспер падал с ошибкой при удалении. Размер обновляемых баз >500 Кб в день - не очень радует...
ДрВеб 4.33 неплохо работает на домашнем компе, на рабочем (PIV-1500,128 метров памяти) тормоза жуткие, сканер полное сканирование дисков (2Х20 метров) так и не смог довести до конца. Размер обновляемых баз довольно маленький, криво реализовано автоматическое обновление. Убогий интерфейс, криво реализована автоматическая проверка...
По отзывам - Панда жутко тормозит (очень жутко).
Хотелось бы узнать, как (и какие) антивири работают у других, их достоинства и недостатки.

| Сообщение посчитали полезным:

Ещё хорошая прога Safe n Sec. Защищает реестр, если какая нибудь прога хочет инсталл сделать она сразу всплывёт и запросит подтверждения. Разработка стафорса походу т. к. там их защита. Это покруче KAV будет

| Сообщение посчитали полезным:

crazyalex
Если прочитать этот топик, то тут Ms-Rem приводил простенький код, обходящий этот Safe'n'Sec.

| Сообщение посчитали полезным:

Есть ещё на руси наивные юзвери, коих 99%.
Верят всему, что напишут создатели антивирусов.
Флаг им в руки. Пущай юзают всякие Safe n Sec и тому подобное.

| Сообщение посчитали полезным:

NIKOLA пишет:
Есть ещё на руси наивные юзвери, коих 99%.
Верят всему, что напишут создатели антивирусов.
Флаг им в руки. Пущай юзают всякие Safe n Sec и тому подобное.
Ну вопервых я не наивный. Во вторых разработчикам я не верю. В третьих неужели ты думаешь что у меня стоит один Safe n Sec. Помимо него есть голова на плечах, три проги по отлову троянов, два антивиря, два антихакера и всё это не тормозит систему. А уязвимость очевидно описывали под первую версию, а сейчас уже 2.0, хотя и под неё чего нить найдут. На этом предлагаю закончить балаган по этой теме.

| Сообщение посчитали полезным:

crazyalex пишет:
три проги по отлову троянов, два антивиря, два антихакера

LOL, у меня один антихакер (это длятого что бы проблемные порты закрыть) и каспер, и тот не в автозагрузке, работает только из контекстного меню проводника.

| Сообщение посчитали полезным:

crazyalex пишет:
Safe n Sec. Помимо него есть голова на плечах, три проги по отлову троянов, два антивиря, два антихакера и всё это не тормозит систему
LOL. Повеселил, респект =)) Коль такая защита, то голова-то уже в принципе и не нужна

| Сообщение посчитали полезным:

crazyalex пишет:
Помимо него есть голова на плечах, три проги по отлову троянов, два антивиря, два антихакера и всё это не тормозит систему.
Мда... Думаю вирусы просто не запустятся на твоей системе в прочем так же как и программы
надеюсь ежечасно не делаешь полную проверку диска? ;)

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice пишет:
надеюсь ежечасно не делаешь полную проверку диска? ;)
Нет конечно, только полный бэкап

| Сообщение посчитали полезным:

у чела явная параноя.. так мало того, комп наверное к сети не подключен и находится в сейфе, чтобы было совсем секьюрно..

| Сообщение посчитали полезным:

Я как-то глюкнул.
Делал проверку 2 раза в день всего компа (40 Гб), касперским. Базы через день обновлял. Так продлилось неделю. Потом посмотрел на себя со стороны и подумал лечится надо.

-----
Никто не знает столько, сколько не знаю я

| Сообщение посчитали полезным:

Satanael пишет:
Делал проверку 2 раза в день всего компа (40 Гб), касперским.
нда... не каждый может себе это позволить, у мня вот - 220 гектар... а каспре у мня каждый день раз по пять обновляется.

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

nice пишет:
Думаю вирусы просто не запустятся на твоей системе в прочем так же как и программы
Представьте себе, я спокойно запускаю как Каспер в автозагрузке, так ещё и игру, и ничего работает.

А вот у друга 2003 стоит, так у него столько вирусов крутится, а системе хоть бы что. Может кто объяснит из-за чего?

| Сообщение посчитали полезным:

crazyalex пишет:
А вот у друга 2003 стоит, так у него столько вирусов крутится, а системе хоть бы что. Может кто объяснит из-за чего?
Потому что он вирусы не удаляет. Я как-то человеку помогал, он "полечил" комп, хвастался, что удалил десятка два троянов. Так после перезагрузки его комп больше не загрузился... Пришлось документики сохранить, все форматировать нах и ставить винду с нуля. Вот так бывает.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
Потому что он вирусы не удаляет. Я как-то человеку помогал, он "полечил" комп, хвастался, что удалил десятка два троянов. Так после перезагрузки его комп больше не загрузился... Пришлось документики сохранить, все форматировать нах и ставить винду с нуля. Вот так бывает.

Тоже в тему: Знакомый умудрился все дллки потереть из сиспапки, типа супер защита когда винда не грузится)

| Сообщение посчитали полезным:

Тогда реальный случай. Прихожу товарищу, он в панике - вирусы и Касперский не помогает. Уж не знаю кто, он или я так Каспера настроил(был глубокий конец рабочего дня), но Касперский нашел сигнатуры в своих базах и удалил их После этого естественно очень быстро сдох. Посмотрел протокол - часть системных DLL была удалена. Теперь интересное - система была Вин2000, ничего вызвать естественно было нельзя, но система грузилась, стол был и мыша ездила, а говорят глючище

agentru пишет:
все дллки потереть из сиспапки, типа супер защита когда винда не грузится
В каком-то форуме был совет, для починки файловой системы открыть доступ в папку "System Volume Information" и потереть там все. Юзер успел послать ответ, что все успешно прошло, но больше на форуме не появлялся Видимо перезагрузился.

| Сообщение посчитали полезным:

Поставил касперчега 6 с руборда техническую версию. выдает при попытки соедениться с сетью вот это. что бы это значало??? вернулся обратно на 3.5 платинум ;)

1eb4_19.05.2006_CRACKLAB.rU.tgz - AVPmustDie.jpg

| Сообщение посчитали полезным:

Red Bar0n пишет:
выдает при попытки соедениться проверь чтобы служба Remote acces работала

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

Ara пишет:
Если прочитать этот топик, то тут Ms-Rem приводил простенький код, обходящий этот Safe'n'Sec

Просматривал я разный софт защитный, так могу сказать, что я не видел ни одной достойной проги. Большинство можно убить прямой записью в драйвер кучи мусора, доступом к физической памяти и убиранием хуков, инжектом в доверенный процесс, замораживанием процесса защитной проги или аттачем к этому процессу. Кое-что, что немного отличалось от другого - KIS 2006, убивается меньшим кол-вом строк на асме, чем тот код, что приводил Ms-Rem для SNS.

-----
Research is my purpose

| Сообщение посчитали полезным:

F-Secure Anti-Virus что-то поразительно часто стал появляться на вершинах различных тестов. Кто-нить юзает его?
Вроде как он юзает лицензированный движок касперчега - неужели продали двиг?

| Сообщение посчитали полезным:

Антивирус Зайцева(AVZ) z-oleg.com/
кто еще не искал у себя руткиты?

| Сообщение посчитали полезным:

Asterix пишет:
Антивирус Зайцева(AVZ) z-oleg.com/
кто еще не искал у себя руткиты?
_________
Оффтоп.
Зашел на сайт, обнаружил что у него скоро книга выйдет
"Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM) "

В книге рассмотрены технологии и методики, положенные в основу работы распространенных вредоносных программ: руткитов, клавиатурных шпионов, программ SpyWare/AdWare, BackDoor, Trojan-Downloader и др. Для большинства рассмотренных программ и технологий приведены подробные описания алгоритма работы и примеры кода на Delphi и С, демонстрирующие упрощенную реализацию алгоритма.

В частности, в книге подробно рассмотрены:

* Различные методики перехвата API функций в UserMode, в частности
o Перехват функций методом правки IAT и таблицы отложенного импорта с примерами на Delphi и С
o Перехват функций методом правки первых байт машинного кода и первых команд машинного кода с примерами
o Перехват метом внедрения кода при помощи механизма сигнатур и точек останова
* Перехват функций в KernelMode, в частности
o Перехват метод правки адресов в KiST
o Перехват методом правки машинного кода ядра
o Перехват вектора Int 2E и sysenter
* DKOM руткиты – методики маскировки в KernelMode и UserMode без перехвата функций с примерами
* Функции мониторинга в KernelMode – пример реализации слежения за запуском процессов и загрузкой исполняемых файлов
* Клавиатурные шпионы
o Классический кейлоггер на базе ловушек
o Опрос клавиатуры по таймеру
o Драйвер-фильтр клавиатуры с подробным рассмотрением принципа его работы и примером
o Руткит-кейлоггер, работающий в User-Mode
o Руткит-кейлоггер, работающий в Kernel-Mode
o Методики слежения за буфером обмена с примерами
* Принципы работы и примеры Trojan-Downloader и Trojan-Dropper
* Пример слежения за сетевой активностью (на примере RAW Socket)

В книге различные утилиты ( в том числе и утилита AVZ) предназначенные для поиска и нейтрализации вредоносных программ и хакерских «закладок», причем основное внимание уделено бесплатным программам. Рассмотрены типовые ситуации, связанные с поражением компьютера вредоносными программами. Для каждой из ситуаций описан процесс анализа и лечения.
На прилагаемом компакт-диске приведены исходные тексты примером, антивирусная утилита AVZ и некоторые дополнительные материалы.
Книга предназначена для системных администраторов, специалистов по защите информации, студентов вузов и опытных пользователей.
_______

В продаже еще нету

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Asterix Ты веришь, что эта прога способна найти настоящий руткит? Разве что какую-то не очень навороченую поделку. Намного лучше в этом плане System Virginity Verifier for Windows 2000/XP/2003
http://invisiblethings.org/ http://invisiblethings.org/
Joanna Rutkowska

The idea behind SVV is to check important Windows System components,
which are usually altered by various stealth malware, in order to
ensure system integrity and to discovery potential system compromise.

Во-вторых, и ее можно обойти перехватив функции чтения в kernel-mode. Единственный более-менее надежный способ, который видится мне в этом случае - это напрямую работать с контроллером жесткого диска и разбирать том вручную. В третьих стоит прочитать Concepts for the Stealth Windows Rootkit (The Chameleon Project) на ее же сайте, в часности как могут использоваться отладочные регистры процессора для скрытия изменений кода ядра.
Ну и наконец несколько общих замечаний:
Программа для обнаружения rootkit должна быть не детектируемой, то есть индивидуальной для каждого пользователя, именно поэтому рулят Open Source проэкты, приведу пример: все знают RootkitRevealer Марка Руссиновича. Можно обойти его глобально в kernel-mode, например, используя технику IRP-hooking, а можно обойти даже в user-mode. Для этого достаточно заметить одну особенность - выводится только список скрытых файлов и ключей. Достаточно обнаружить процесс RootkitRevealer-a (например по сигнатуре в памяти, т.к. назв. процесса выбирается случайно), и вернуть ему полный список файлов и ключей, он не обнаружив никакой разницы ничего не покажет. Еще один способ обхода защитного софта - использование IOCTL. Писать про это можно долго и упорно - но рекомендую все же зайти на сайт Джоанны, она тоже про многое пишет. Одна из немногих, которая не продалась черношляпникам
Flint пишет:
Зашел на сайт, обнаружил что у него скоро книга выйдет
В общем-то большей частью - это публикация давно известных истин, правда приятно, что хоть что-нибудь появится на русском языке. Почаще заходите на сайт www.rootkit.com http://www.rootkit.com

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Ты веришь, что эта прога способна найти настоящий руткит?

я лишь дал ссылку на еще один антивирус с интересными особенностями
Не имеет значения во что я верю ;)

| Сообщение посчитали полезным:

Flint пишет:
В продаже еще нету
Как нет? Уже есть http://www.books.ru/shop/books/448604

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Коли дело дошло до руткитов, вот вам моя небольшая статейка, кот я кое-где публиковал.... Написана где-то месяца 4 назад, когда я баловался всем этим..... Нацелено, в первую очередь, на обнаружение стандартных руткитов, коих большинство....

Руткиты: Search`n`Destroy
________________________________________
Решение написать нечто подобное было продиктовано тем, что эта проблема стала в последнее время очень актуальной (именно в последнее время, хотя руткиты как таковые существуют уже лет 10). Особенно после инцидента с Sony BMG, когда было обнаружено, что подобный тип программ применялся в качестве защиты от копирования. Всё бы ничего, только руткит работал и когда сам диск не воспроизводился, отнимая часть ресурсов системы. Что ж, результат оказался достаточно сомнительным.

Краткий курс для тех, кто не знаком с этим: термин «руткит» используется для описания техники или механизма, с помощью которых различные типы вредоносных программ (вирусов, шпионские модули) имеют возможность скрыться в пораженной системе от различных системных программ, антивирусов, различных видов детекторов, предназначенных для отлова вредоносных программ и прочего. Или же их могут скрыть (взломщик, например). Также они могут использоваться для маскировки следов взлома системы. Т.е. говоря по-простому, у вас в системе может висеть троян, но вы его не сможете никогда увидеть его, и узнать что он у вас есть…. Точно так же со следами от взлома. Так как хакеры очень часто оставляют систему открытой специально для себя, чтобы потом использовать её в своих целях (например, для создания потом так называемых «ботнетов»). Так же могут маскироваться и некоторые ключи реестра.

Существует несколько типов руткитов, но цель у всех одна….
Существуют так называемые «Memory-Based Rootkits» (т.е. только висящие в оперативной памяти), такие работают только до тех пор, пока система не будет перезагружена.

Так же существуют «Persistent Rootkits» – такие висят в системе постоянно, и запускаются с каждым запуском системы. Причем они запускаются в том числе и в безопасном режиме. И т.д.

Принцип действия руткитов: (так же несколько), перехват определенных API функций, которые используются как системой, так и различными программами (антивирусами), для отображения существующих в системе файлов. В данном случае руткит выступает в качестве фильтра, и отсеивает всё то, что должен замаскировать. Тогда создается впечатление, что такого файла нет (или ключа реестра).

Так же некоторые руткиты могут работать на уровне ядра системы, что дает намного больше возможностей (полное скрывание процессов, файлов, ключей реестра).
Поэтому возникает закономерный вопрос: как обнаружить руткиты?
Делается это достаточно просто (на мой взгляд). Как у всяких программ, у руткитов тоже есть свои недостатки.

Начнём сверху, а именно с обнаружения скрытых ключей реестра. Вручную это сделать крайне сложно, но с помощью определенных программ сделать это становиться уже легче. Программ для обнаружения существует достаточно много, но на практике я столкнулся с тем, что многие из них не в состоянии обнаружить некоторые руткиты. Поэтому с помощью них удобно обнаруживать только ключи реестра. Достигается это с помощью полного дампа реестра на диск, и последующего сравнивания его содержимого с содержимым оригинального реестра (который используется в данный момент самой системой), но уже с помощью API функций. Таким образом, легко видно, какие ключи существуют на самом деле, а какие из них не видны с помощью API функций.

А как обнаружить скрытые файлы? Так же достаточно легко, но уже не с помощью программ для обнаружения руткитов, т.к. они очень часто сами ошибаются.
Что делает руткит? Перехватывает API функции? Ну и пусть себе перехватывает. Физически файл есть на диске? Есть. Значит мы и будем осуществлять прямой доступ к диску, которого не обманешь перехватом API функций. Для этого отлично подходят различные дисковые ревизоры. Например, Adinf (производство Dr.Web-а), или Kaspersky Inspector (Производство Лаборатории Касперского). Лично я тестировал на последнем. И всё отлично работало. Был сделан снимок раздела диска. Затем в систему был установлен руткит. Далее произвелась проверка руткит-детекторами. Часть из них нашла этот руткит, часть нет. Затем был сделан повторный снимок раздела диска с помощью Inspector-а, который показал абсолютно все скрытые файлы, замаскированные руткитом. Единственным моментом здесь является то, что необходимо устанавливать подобные ревизоры в полной уверенности, что Ваша система чиста (например, сразу же после установки самой системы).

Правда есть ещё один момент, Kaspersky Inspector сейчас очень сложно найти, т.к. раньше он был частью антивирусного продукта (Kaspersky Antivirus версии по 4.5 включительно). Потом его поддержку прекратили.
Так же, если на машине установлена ещё одна система, то загрузившись во вторую, можно легко видеть что лежит на диске первой системы (т.к. маскировка осуществляется в той системе, в которую мы не стали загружаться)….
Также проходит трюк с просмотром системы в режиме консоли восстановления (правда, в этом случае будет очень не удобно это делать, но это идеально подходит для того случая, когда мы знаем где он, и его надо просто убить).
Live CD тоже прекрасно подходят (когда система сама находиться на CD диске. И загружается тоже с него).
Так что, как видно, способов достаточно много….
Я же продолжаю дальше тестирование различных продуктов, призванных обезопасить нашу систему. Некоторые из них оставляют желать лучшего. Зато есть куда совершенствоваться.
P.S. Некоторые производители антивирусов сейчас начинают включать защиту от руткитов в свои продукты. Что ж, это наверно будет весело, но мне кажется эта затея несколько темной. Но это моё мнение. Время покажет….
P.S.S. для тестирования использовались различные руткиты, такие как "Vanquish", "Hacker defender", «AFXRootkit2005», «FU Rootkit» и т.д.
И системы обнаружения руткитов (в том числе, системы просмотра скрытых процессов): Rootkit Revealer, Rootkit Shark, Kernel Hidden Process/Module Checker, Find Hidden Service, F-Secure BlackLight и т.д.

NOTE: Все торговые марки являются собственностью их владельцев.
Copyright By Johnson Finger ("Jeefo")
INFECTIO-DESINFECTIO Corp.



Собственно соль в том, что теперь можно еще кое-что добавить, но об этом чуть позже, мне лень....

-----
The blood swap....

| Сообщение посчитали полезным:

Есть маленький Антируткит "DarkSpy Anti-Rootkit 1.0.5" ~ 600 кб

DarkSpy – утилита для обнаружения руткитов в системе. Программа комбинирует множество эффективных технологий, включая собственные технологии и методики используемые другими программами.
В новой версии:

* Улучшенный механизм обнаружения процессов/драйверов.
* Устранены ошибки при работе с другими антивирусами (Касперский и др).
* Улучшена функциональность принудительного завершения процессов.
* И много чего еще
www.securitylab.ru/software/270829.php?phrase_id=153562
________

ИМХО, полезная вещь - копирует и удаляет файлы которые винда не видит.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

2Virgo. Ты просил пример - держи. Семпл блокирует запуск проги и выводит сообщение при входе в систему. Хочу заметить, что этот способ применим отнюдь не только для KIS, несложно его переделать для большой части другого защитного софта. К сожалению это самый простой пример, существует множество других Применительно к этому случаю - можно создать блокирующее правило в настройках проги.

6606_04.09.2006_CRACKLAB.rU.tgz - Stop_KIS_6_0.rar

-----
Research is my purpose

| Сообщение посчитали полезным:

Johnson Finger пишет:
Достигается это с помощью полного дампа реестра на диск, и последующего сравнивания его содержимого с содержимым оригинального реестра (который используется в данный момент самой системой), но уже с помощью API функций
А дампить как будешь? Как у Руссиновича - ZwSaveKey? Ну так, а кто мешает перехватить NtSaveKey и отфильтровать твой дамп? Если это чтение файлов реестра на диске - перехват их чтения.
Johnson Finger пишет:
Есть. Значит мы и будем осуществлять прямой доступ к диску, которого не обманешь перехватом API функций
смотря на каком системном уровне работает руткит, и что ты подразумеваешь под прямым доступом к диску. Если CreateFile(PhysycalDrive0,... то это можно обойти тоже. Есть еще понятие I/O Request
Packet (IRP) hooking. Под прямым доступом к диску следует подразумевать использование машинных инструкций in и out для прямого обращения к контроллеру HDD, но я что-то не припомню, чтобы так кто-то поступал...
Johnson Finger пишет:
"Vanquish", "Hacker defender", «AFXRootkit2005», «FU Rootkit» это демки просто, коммерческий руткит, особенно сделанный на высоком уровне, врядли так просто найдешь...

-----
Research is my purpose

| Сообщение посчитали полезным:

То Error_Log - честно говоря, я уже и не помнюв чем прикол, т.к. говорю, писалось это все достаточно давно, и что тогда и под чем я имел в вилу, уже сложно припомнить....
Хотя я изначально не зря специально отметил, что это рассчитано на большую часть руткитов, которые гуляют сейчас в сети, список ты видел, и эти приемы рассчитаны как раз именно на этот круг.....
То что можно отфильтровать, в этом я не сомневаюсь.....
Под прямым дотупом к диску я имел в виду чтение его в RAW режиме, как, например, это делать ревизор от Каспера, ставший все-таки уже архаизмом..... Так же грубым сравнением можно привести работу некоторых DOS вирусов, которые взаимодейсмтвуют непосредственно с HDD, и, например, стирают его сектора, или заражают бут сектор..... Имелось в виду это.....
Далее, опять же, часть руткитов все-таки отваливаются, если грузануться с т.н. Live CD, т.к. все это дело находится в оперативе, и HDD не затрагивается в принципе, поэтому на таком уровне ты хрен что отфильтруешь, т.к. если файл физически есть на диске, то существует возможность его увидеть.... Другой вопрос, что можно действовать на подобие EXE-инфектора, и просто тупо себя вписывать в тело других ПЕ файлов, и, каким либо образом корректировать ту же CRC, выдавая по сапросу необходимые значения.....
Далее, так же все это дело с крахом падает, если используется руткит, который частично использует метод заражения бут-сектора, такой в принципе очень сложно обнаружить, но пример уже в принципе есть, от группы eEye Digital Security, где-то у меня на винте валяется....
И контрольный выстрел в голову - это изобретенаный не так давно самой корпорацией майкрософт (!) руткит принципиально нового поколения под названием subvirt, который в принципе обнаружить невозможно..... Т.к. идет полная виртуализация системы, со всеми процессами и т.д., и все проги обнаружения просто пролетают....
А на счёт демок, это да, в принципе согласен..... Все знают, что есть руткит Hacker Defender, который обнаруживается очень многими прогами, но мало кто знает. что есть руткит Hacker Defender Brilliant, который начисто обходит все эти проги (существующие на данный момент), и остается полностью невидимым в вашей системе.... Понятное дело, что на паблике это дело не валяется....

-----
The blood swap....

| Сообщение посчитали полезным:

Holy Father вроде как уже прекратил поддержку и продажу HD/HD Brilliant.

| Сообщение посчитали полезным: