Testarea auto-apărare a antivirusurilor 2018, blog high-tech

Condiții de testare

  • Pentru KIS a folosit OS Windows 10. pentru restul - Windows 7 Maximum SP1 x64
  • au fost utilizate opțiunile standard de instalare și configurare, cu excepția Kaspersky și DrWeb - au avut, de asemenea, parole pentru accesul la management
  • utilizatorul curent se afla în grupul Administratori. Procesul Hacker a fost pornit de administrator

Metodologia de testare

  • fișier text a fost creat cu conținutul «X5O! P% @ AP [4 \ PZX54 (P ^) 7CC) 7> $ EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $ H + H *», redenumite executabil și eicar.com este ambalat într-o arhivă cu o parolă
  • fișierul a fost despachetat și lansat, am fost convinși de performanța antivirusului - fișierul a fost fie șters, fie blocat
  • s-au făcut încercări de a opri procesul de protecție în timp real a antivirusului - Terminare (în unele cazuri - Terminare arbore, mai jos este indicat separat) și suspendarea lucrului - Suspendare cu reluarea ulterioară - CV
  • Fișierul a fost despachetat din nou și fie a fost pornit, fie a fost blocat de antivirus

Puteți manipula procesele atât în ​​modul manual, cât și în linia de comandă. De exemplu:
Procesul ProcessHacker.exe -c -ctype -cobject dwengine.exe -caction terminat
Procesul ProcessHacker.exe -c -ctype -cobject dwengine.exe -caction suspend

Așa au arătat lansările reușite și blocate ale eicar.com. în cazul blocării, refuzul de acces al antivirusului, în cazul în care a fost inițiată ocolirea antivirusului, OS a scris că nu era un fișier executabil.

Testarea auto-apărare a antivirusului 2015, blog high-tech
Testarea auto-apărare a antivirusului 2015, blog high-tech

Antivirusuri testate

  1. Avast! Free Antivirus 10.4.2233
  2. Avira Antivirus 15.0.13.210
  3. Dr.Web Security Space 11.0
  4. ESET NOD32 Antivirus 9.318.24
  5. Kaspersky Endpoint Security 10 SP1 10.2.2.10535
  6. Kaspersky Internet Security 16.0.0.614
  7. McAfee Internet Security (McAfee SecurityCenter 14.0.1029, Protecție împotriva virușilor și a programelor spyware McAfee 18.0.204)
  8. Norton Internet Security 22.5.4.24
  9. 360 Total Security 8.0.0.1046

Avast! Free Antivirus 10.4.2233

Testarea auto-apărare a antivirusului 2015, blog high-tech
Are trei procese: Avastsvc.exe. AvastUI și AvastEmUpdate.exe.

a) Încercați să opriți procesul. Este nefericită. Avast! Nu oprește niciunul din procesele sale și nu raportează o negare a accesului.
b) Încercarea de a suspenda procesul. Este nefericită. Avast! Nu vă permite să suspendați oricare dintre procesele dvs., anunțând o negare a accesului.

  • oprirea antivirus: nu este posibilă
  • gradul de pericol: zero

Avira Antivirus 15.0.13.210

Testarea auto-apărare a antivirusului 2015, blog high-tech
Există mai multe procese, vom fi interesați de avguard.exe.

a) Încercați să opriți procesul (terminați arborele). Primele două încercări determină repornirea serviciului, a treia oară când este oprit. Virușii pot fi lansați.
b) Încercarea de a suspenda procesul. Cauzează frânarea puternică, dar sistemul este funcțional. Puteți decomprima virusul și îl puteți rula.

  • starea antivirus: plină
  • gradul de pericol: maxim

Dr.Web Security Space 11.0

Testarea auto-apărare a antivirusului 2015, blog high-tech
Procesați dwengine.exe.

a) Încercați să opriți procesul. Există o repornire lungă a serviciului (5-6 secunde), în timpul căreia puteți desface virusul și îl puteți rula în liniște în fața Dr.Web. în cele din urmă, ștergeți fișierul.
b) Încercarea de a suspenda procesul. Blochează lansarea oricăror programe noi (sub formă de agățare), puteți lucra cu exploratorul deja început și PH. După reluarea procesului, Dr.Web continuă să funcționeze normal.

Notă. Dacă după terminarea procesului dwengine.exe suspendați suspendarea. atunci procesul este suspendat pe o perioadă nedeterminată de timp și nu răspunde la viruși în niciun fel, ceea ce echivalează cu oprirea completă a serviciului.

Rezultatul.
  • starea antivirus: plină
  • gradul de pericol: maxim

ESET NOD32 Antivirus 9.318.24

Testarea auto-apărare a antivirusului 2015, blog high-tech
Două procese: serviciul ekrn.exe și shellul grafic egui.exe. Ne oprim și pe amândouă.

a) Încercați să opriți procesul. Există o repornire rapidă a serviciului. Se poate observa că PID-ul procesului se schimbă, dar virusul nu va porni manual.
b) Încercarea de a suspenda procesul. Blochează lansarea oricăror programe noi (sub formă de agățare), puteți lucra cu exploratorul deja început și PH. După ce procesul este repornit, antivirusul continuă să funcționeze ca de obicei.

  • oprirea antivirus: nu este posibilă
  • gradul de pericol: zero

Kaspersky Endpoint Security 10 SP1 10.2.2.10535

Testarea auto-apărare a antivirusului 2015, blog high-tech
Două procese avp.exe. procesul de service (child services.exe) și procesul shell-ului grafic (child explorer.exe).

a) Încercați să opriți procesul. În primul rând, procesul de interfață grafică (Terminare), generat de explorer.exe. care se repornește imediat ca copil al procesului de serviciu. Apoi, efectuați Terminate Tree pe procesul capului. Apare din nou, dar deja singur. Executăm Terminare pe ea. apoi din nou, și noi nu vedem mai multe despre Kaspersky. Virușii pot fi lansați.
b) Încercarea de a suspenda procesul. Blochează lansarea oricăror programe noi (sub formă de agățare), puteți lucra cu exploratorul deja început și PH. După câteva minute, serviciul KES se oprește. virușii pot fi lansați. Dacă procesul de shell-ul grafic nu se oprește înainte de aceasta, serviciul va porni din nou. Dacă opriți, serviciul se oprește pentru totdeauna.

  • starea antivirus: plină
  • gradul de pericol: maxim

Kaspersky Internet Security 16.0.0.614

Testarea auto-apărare a antivirusului 2015, blog high-tech
Două procese: avp.exe și avpui.exe.

a) Încercați să opriți procesul. Selectăm ambele procese, după trei încercări nu mai apar. Virușii pot fi lansați.
b) Încercarea de a suspenda procesul. Blochează lansarea oricăror programe noi (sub formă de agățare), puteți lucra cu exploratorul deja început și PH. După reluarea procesului, antivirusul suspendă întregul sistem și necesită o repornire a sistemului de operare.

  • starea antivirus: plină
  • gradul de pericol: maxim

McAfee Internet Security 18.0.204

Testarea auto-apărare a antivirusului 2015, blog high-tech
Multe procese. Suntem interesați de mcshield.exe.

a) Încercați să opriți procesul. Procesul se repornește imediat, dar după a treia încercare este tratat. Virușii pot fi lansați.
b) Încercarea de a suspenda procesul. Virușii pot fi lansați. După ce serviciul continuă, serviciul șterge fișierul.

  • starea antivirus: plină
  • gradul de pericol: maxim

Norton Internet Security 22.5.4.24

Testarea auto-apărare a antivirusului 2015, blog high-tech
Două procese NIS.exe.

a) Încercați să opriți procesul (terminați arborele). Primele două ori - reporniți serviciul, a treia oară - este cam ca o oprire. Și aici a început momentul cel mai interesant din toate testele. În ciuda faptului că oprirea serviciului a fost confirmată de statul său în servicii.msc și absența proceselor în KH. Norton a continuat să elimine virușii. după cum reiese din înscrierile din jurnal după începerea manuală a serviciului. A existat un sentiment că Norton sa pregătit pentru astfel de manipulări și ascunde procesul său, inclusiv de la Process Hacker. Bravo!
b) Încercarea de a suspenda procesul. A blocat lansarea oricăror programe noi (sub formă de agățare), a fost posibil să lucrați cu exploratorul deja început și PH. După reluarea procesului, antivirusul a continuat să funcționeze ca de obicei.

  • oprirea antivirus: nu este posibilă
  • gradul de pericol: zero

360 Total Security 8.0.0.1046

Testarea auto-apărare a antivirusului 2015, blog high-tech
Trei procese: QHActiveDefense.exe. QHWatchdog.exe. QHSafeTray.exe.

a) Încercați să opriți procesul. Terminați arborele pe capul procesului, scoateți toate cele trei procese simultan și pentru totdeauna. Pură victorie!
b) Încercarea de a suspenda procesul. Executarea procedurii privind procesul capului este de așteptat să blocheze lansarea oricărui program. După reluarea procesului, antivirusul a continuat să funcționeze ca de obicei.

  • starea antivirus: plină
  • gradul de pericol: maxim


Tabelul rezultat

Testarea auto-apărare a antivirusului 2015, blog high-tech

Ce înseamnă acest test? Cel puțin - nevoia de a gândi. Antivirusurile interne au fost surprinse neplăcut: am fost complet siguri că Kaspersky și Dr.Web ar arăta rezultate exemplare. Avast! NOD32 și Norton - aplauzele noastre!

Aș dori să vă spun câteva lucruri despre testele ca atare și despre alegerea antivirusului. Oricine este angajat în protecția antivirus, știe că compara software-ul antivirus pe funcția lor principală este practic imposibil pentru orice antivirus există un virus care nu va detecta sau elimina incorectă (aici și mai jos ne referim la orice viruși malware). Toate testele pentru viruși sunt absolut inutile.

De ce sunt teste inutile ale software-ului antivirus pentru viruși?
Se întâmplă adesea ca unul dintre utilizatori să descarce o arhivă găsită undeva într-o mie de viruși și pe unii oameni de pe forum să înceapă să se măsoare - cine are ce antivirus a prins. Aici problema constă în neînțelegerea de către majoritatea utilizatorilor instruiți chiar și de faptul că antivirusul protejează de obicei împotriva virușilor reali.
Ce este un virus real? Este un virus care are o răspândire suficientă la un moment dat și prezintă un anumit pericol. Scrie un virus care sări peste tot software-ul anti-virus, pentru grave programatorului, în general, nu este o problemă, trebuie doar să scrie un înveliș (a nu se confunda cu istoricul), și a pus înapoi orice cod rău intenționat. Astfel, dacă o parte a antivirus detectează un virus găsit pe site-urile cu conținut discutabil, iar pe de altă parte nu este - atunci acest lucru nu este un avantaj pentru prima, deoarece acest virus există în mod normal, numai pe acest site și în alte câteva zeci de aceiași semenii săraci.
În acest context, există încă un punct. În cazul în care compania anti-virus a pus în baza sa de date virus care descrie toate virusurile cunoscute de ei, o astfel de bază va avea o dimensiune de mai multe gigabytes, și verificarea fiecare fișier va dura câteva secunde. Firmele anti-virus trebuie să echilibreze securitatea și performanța computerelor moderne. Astfel, toate aceste companii își curăță bazele de înregistrările irelevante ale virușilor. Criteriul de relevanță pentru viruși fiecare companie proprie: cineva a șters din virusurile care nu au îndeplinit timp de mai mult de 10 de ani, cineva - mai mult de 5 ani, în cazul în care virusul nu este utilizat pe scară largă, un producător va șterge înregistrarea într-un an, celălalt - nu va șterge, etc. și altele asemenea. În cazul în care o proaspătă și mai grav rupt virusul, detectarea numai unul dintre ei antivirus nu înseamnă nimic, data viitoare când software-ul antivirus în sine poate fi într-un număr de „perdanți“. Cu alte cuvinte, testarea pe forumuri găsită undeva virușii nu are sens.

De ce sunt inutile testarea profesională anti-virus pentru viruși?
Ei bine, pentru început, ce îi face profesioniști? Mai întâi de toate - o selecție de viruși reali, adică cele care sunt răspândite la momentul testării și care prezintă un pericol suficient. Nu puteți avea încredere în astfel de teste pentru un motiv banal: mulți dintre ei sunt părtinitori și ajustați la sponsori, iar testele independente nu pot fi identificate între ele.

Nu există articole înrudite.