Сравнения и споры насчет антивирусов и файерволов

[Killer634]

IronLamberMan
ИМХО НоД говно)))) Поставил его один раз, так он так систему загрузил, постоянно какие-то вирусы видит, дрянь короче(((

Panda Antivirys Titanium 2005 поставил триал, чудо))) никаких вирусов, никаких сбоев, едиснтвенный минус - грузится долговато при загрузке, но зато защищает)))) Пусть триал на 30 дней, у меня так пол-года стоит и не один касперские с его еже-часными обновлениями не сравниться)))

НоД - Ф ТОПКУ! Panda Рулит! [Для просмотра данной ссылки нужно зарегистрироваться]

[brizzz]

да уж.. спорить о том какой антивирусник лучше - это тоже самое, что спорить какой стиль музыки круче или какой вид спорта инетреснее.
сколько времени уже с НОДом и никаких нареканий, даже какую-то панду ставить не хочется даже ради прикола, посмотреть что это такое

[gagarin]

Avast: Лично я его не определял хороший или нет, мне его знакомые посоветовали. А интерфейс и удобства в работе не помешает.

А сам чей поганым Kaspersky пользуешься, который кроме тормазов и глюков больше ниче не ловит

[SploiT]

Цитата:

А сам чей поганым Kaspersky пользуешься, который кроме тормазов и глюков больше ниче не ловит

1.Это уже давно профиксили.
2.Аваст это полноя херня, хуже антивирь не придумать.
3.А вобще переходите на другой антивирь) и будет вам счастье, да и забыл сказать еще ставте фаервол

[Negat1ve]

Цитата:

Сообщение от gagarin

Лично я его не определял хороший или нет, мне его знакомые посоветовали. А интерфейс и удобства в работе не помешает.

А сам чей поганым Kaspersky пользуешься, который кроме тормазов и глюков больше ниче не ловит

Я не пользуюсь антивирусами вообше, т.к. любой продукт что есть сейчас на рынке - убогое дерьмо, без исключений, с виду конфетка, а как до дела доходит то выясняется что хуже и придумать нельзя, почитай статьи разные на руткитс.ру, поймёшь в чем дело. Лучше всего использовать онлайн проверки где софт проверяется 10-15 разными продуктами, но и таким проверкам доверять нельзя, если нету головы на плечах то ни одна самая хорошая защита не поможет

[Quantum]

Добавлю ещё что сейчас любые антивирусные продукты используют в основном три методики скинирования файлов:
1) Сигнатурный анализ, сверяет сигнатуру (определённый кусок, по которому можно явно идентифицировать файл, как простейщий вариант - точка входа) сканируемого файла по своей базе, если находит - сразу же детект
2) СтрингРеференс - анализ файла на подозрительные строки, импорты, и.т.п.
3) эмуляция (Ака SandBox) - пошаговая эмуляция исполнения файла, с последующим анализом его активности

1-й метод отлетает сразу, любой криптер, пермутатор кода, и сразу же сигнатура меняется, идём дальше - второй метод тоже не тянет, т.к. можно просто сделать какую нибудь шифровку строк с помощью того же TEA или RC4 алгоритма, с последующим подбором ключа расшифровки самой-же программой по ходу декриптовки, ну и третий - сэндбоксинг, так же мимо, простейщий вызов какой нибудь неэмулируемой API функции вроде MoveFileA и эвристику приходится остановить обработку файла, к слову таких апи можно придумать тьму, и никогда ниодин эвристик не научится эмулировать их все.. ну и соответственно импорты - сейчас уже никто в лоб не юзает, обычно вызывают по хэшу + забивают импорт всяким леваком, в итоге ничего подозоительного антивирь не находит. Из всего этого можно сделать вывод что нае%бать любой антивирь не составляет труда если есть голова на плечах

Буду рад если кому то пригодится инфа, печатать устал

[Quantum]

Цитата:

Сообщение от fox-nn

У меня стоит Каспер 6-й, с посл обновлениями. Стал ставить Agnitum Outpost, каспер сразу выдал мне, что я трояна ставлю....
Нипонятна

А ты не подумал что для контроля сетевой активности такие приложения ставят свои драйверы, лезут в ядро, функции всякие системные перехватывают? Ну и естественно спермский начал по этому поводу двигаться

Юзайте лучше ZA, аутпост с ним рядом не стоял

[MoonTemple]

Цитата:

Юзайте лучше ZA, аутпост с ним рядом не стоял

- Конечно не стоял. Outpost Firewall и близко к параше не подойдёт. )

[Quantum]

Цитата:

Сообщение от MoonTemple

- Конечно не стоял. Outpost Firewall и близко к параше не подойдёт. )

Не смеши людей, и не говори что-то если ты не шаришь в вопросе, и попросту не знаешь чем одно хуже другого

Цитата:

Сообщение от с4mb3ll

факты в студию

Ну хотя бы методы: При установке левого драйвера в систему, который восстанавливает SSDT и балуется антисплайсингом, т.е. попросту сносит все хуки Аутпоста из ядра со всех функций, аутпост ничего сделать не может, он даже свои хуки не может восстановить, и соответственно идёт в лесок, а вот ZA использует более хитрый способ, сам пока не доконца разобрался как, но он восстанавливает перехватичики функий

Ну и ещё одно - за 5 минут можно написать программу которая при крике аутпоста о том что кто-то рвётся в сеть, будет искать диалог, ID кнопки и сразу-же тыкать разрешить, с ZA так не прокатит... это уже о многом говорит что люди в агнитум лабс не особо стараются..

это на вскидку, при более детальном изучении можно найти различий 5-10 в плюс ZA и в минус Аутпосту
Я конечно не говорю что ZA это убер и всё такое, его тоже можно обойти, но намного сложнее чем Аутпост, имхо лучшее что сейчас есть на рынке сетевых мониторов

[The Godfather]

Цитата:

Ну хотя бы методы: При установке левого драйвера в систему, который восстанавливает SSDT и балуется антисплайсингом, т.е. попросту сносит все хуки Аутпоста из ядра со всех функций, аутпост ничего сделать не может, он даже свои хуки не может восстановить, и соответственно идёт в лесок, а вот ZA использует более хитрый способ, сам пока не доконца разобрался как, но он восстанавливает перехватичики функий

эт вообщет фича антивируса, а Аутпост - файервол и ему это нафиг не надо

Цитата:

Ну и ещё одно - за 5 минут можно написать программу которая при крике аутпоста о том что кто-то рвётся в сеть, будет искать диалог, ID кнопки и сразу-же тыкать разрешить, с ZA так не прокатит... это уже о многом говорит что люди в агнитум лабс не особо стараются..

только такого почему-то нету

И к тому же Аутпост это намного более профессиональный файервол, а ЗА скорее для начинающих/любителей

[с4mb3ll]

Цитата:

Сообщение от Quantum

Ну и ещё одно - за 5 минут можно написать программу которая при крике аутпоста о том что кто-то рвётся в сеть, будет искать диалог, ID кнопки и сразу-же тыкать разрешить, с ZA так не прокатит... это уже о многом говорит что люди в агнитум лабс не особо стараются..

здесь Quantum прав, такое действительно есть, поэтому лучше держать аутпост в режиме block most, хотя я сам так не делаю

я сам когда-то пытался перейти на comodo firewall, но так и не смог забыть аутпостовый network activity

Цитата:

Сообщение от Quantum

Ну хотя бы методы: При установке левого драйвера в систему, который восстанавливает SSDT и балуется антисплайсингом, т.е. попросту сносит все хуки Аутпоста из ядра со всех функций, аутпост ничего сделать не может, он даже свои хуки не может восстановить, и соответственно идёт в лесок, а вот ZA использует более хитрый способ, сам пока не доконца разобрался как, но он восстанавливает перехватичики функий

на какой версии проверял? self-protection был включен?

[Quantum]

Цитата:

Сообщение от The Godfather

эт вообщет фича антивируса, а Аутпост - файервол и ему это нафиг не надо

Вот тут ты не прав, любое ПО будь то АВ, Фаер или же проактивная защита - перехватывают определённые функции в ядре, иначе просто их можно было бы загасить из юзермода (ring3)

Цитата:

Сообщение от The Godfather

только такого почему-то нету

Сплош и рядом, могу продемонстрировать наглядно, с тебя какая-нибудь дрянь которая ломится в сеть, с меня эта же дрянь с присобаченным модулем автоклика по кнопке, вот и посмотришь..

Цитата:

Сообщение от с4mb3ll

на какой версии проверял? self-protection был включен?

Подверженны все версии без исключения, и не только Аутпост, селф-протекшн есессно был включен, тут дело не в этом даже, а в том как без палева для какой нить проактивки подгрузить свой драйвер (это моё ноу-хау), а дальше уже немудрено - драйвер мочит всех и вся не оставляя абсолютно никаких шансов, и тут никакой селф-протект уже не поможет

P.S. В результате тестирования, я пришёл к выводу что на данный момент таким методом можно обойти следующие программы:

Jetico Firewall
Comodo Firewall
Kerio Firewall
ZoneAlarm Firewall
McAfee Firewall
Kaspersky Internet Security
Agnitum Outpost Firewall
NOD32 I-mon module
Panda Firewall
Norton internet security

как вы уже догадываетесь, дальнейший контроль приложения после установки драйвера уже невозможен ни одной проактивной защитой или фаерволлом

Но всё же из всех протестированных мной программ, всех хитрее пытался отловить и противостоять внедрению ZoneAlarm

Юзай AVZ для поиска руткитов, из фаерволлов я тебе даже посоветовать не могу ничего, ибо со всем чем встречался - исход был один и тот же... ну ZA можешь поставить, он самые распространённые трояны и бэкдоры всякие рубит...

[Ultrabass]

Хм... список громких названий фаерволлов, которых "можно обойти указанным способом" наводит на мысль о том, что противостоять этому методу - не есть задача фаерволла. Этим наверна должен антивирь заниматься ? Неспроста ж многие уже пошли по пути создания комплексных пакетов, а-ля "Касперец Антихацкер", "Интеренет секьюрити" от Агнитум, да и Нортон тож вроде нечто подобное лабает...
Сидеть с одним фаерволлом, без антивиря, и чувствовать себя в безопасности - эт кнешн смешно )

ну, ежель ставишь тока проверенную софтину на комп, т.е. угрозы безопасности изнутри нет - тада фаервола достаточно... Тока ить, мало кто не злоупотребляет скачкой, запуском и установкой всякой плеши из инета: кряков/кейгенов неопознанных, к примеру...

[Quantum]

Цитата:

Сообщение от Ultrabass

Хм... список громких названий фаерволлов, которых "можно обойти указанным способом" наводит на мысль о том, что противостоять этому методу - не есть задача фаерволла. Этим наверна должен антивирь заниматься ? Неспроста ж многие уже пошли по пути создания комплексных пакетов, а-ля "Касперец Антихацкер", "Интеренет секьюрити" от Агнитум, да и Нортон тож вроде нечто подобное лабает...
Сидеть с одним фаерволлом, без антивиря, и чувствовать себя в безопасности - эт кнешн смешно )

ну поидеи с таким зверьем должен бороться как антивирь, так и фаер, т.е. если по каким-то причинам антивирь пропустил зверя, то фаер должен контролировать попытку доступа в сеть, а всякие комплексные защиты должны отслеживать поведение программы в целом, будь то доступ к реестру, физичесий доступ к диску и так далее, но что-то не справляются, просто их всё устраивает так как есть, ибо зверья которое вот так вот с ходу их обходит - минимум, вот они и ленятся делать новое, и совершенствовать продукты..

[Ultrabass]

2Quantum:
Ну, я в вопросах системного программирования и безопасности - не силён, так мягко скажем... Мож дурь щас ляпну ) Но, чисто вот такое поверхностное суждение приходит на ум: ежель антируткитовые функции будут в фаерволле одного производителя, и в антивире другого - не будут ли они друг с дружкой воевать на одном компе ? ) Нечто навроде ситуации, когда антивирь обнаруживает вредоносный драйвер, пытается его замочить, а фаерволл обижается на то что кто-то мочит невинный с его точки зрения драйвер и пытается замочить антивирь ) *если я некорректно употребил слово "драйвер" здесь - прошу простить ламера* )

[Quantum]

запросто, так и бывает как правило, допустим у тебя стоит спермский (проактивка KIS7), ты пытаешься поставить NOD32, спермский сразу же начинает двигаться в его сторону, говорит что такое то приложение пытается установить драйвер в систему, если это дело не прибить прямо сейчас, то дальнейший контроль приложения будет невозможен, ну допустим ты пропускаешь это мимо ушей, поставил нод, запустил, и он тут же начинает видеть в дайверах спермского вредоносную пое%оту какую нибудь, т.к. любые драйверы антивирусов/антируткит по/комплексных проактивных защит перехватывают море системных функций, ставят хуков своих туеву хучу, т.е. своим поведением мягко говоря смахивают на руткит, ну и есессно нод начинает гасить спермского, спермский начинает сопротивляться, пытается восстановить свои перехватчики и.т.п, инногда даже бывает так что после восстановления своих функций, он начинает пытаться мочить то, что мешало ему, тут в каждом конкретном случае может по разному быть, но крайне не рекомендуется ставить 2 разных продукта, темболее от разных АВ компаний...

друг эксперементировал когда-то, как раз спермского поставил, потом нод, включил проактивные модули и у того и у другого, они начали сначала в открытую гасить друг-друга, сначала смермский поудалял N% компонентов нода, то что смог выгрузить из ядра, нод начал орать, восстановил часть функций, без спросу закачал апдейт и восстановился полностью, далее я не помню какие действия были, но нод вроде как то покалечил один из основных компонентов спермского и смог выгрузить его из ring0, и тот окончательно сдох и уже не подавал никаких признаков жизни при перезагрузке... всякое бывает

[Ultrabass]

Ну, про антивири подобные истории известны, да и собсна врядли много кому придёт в голову поставить два антивиря одновременно - разве что исследователю или клиническому параноику ) А вот если подобные фокусы начнут проявлятся в гетерогенных парах (т.е. от разных производителей) антивирь-фаерволл - это будет печаааально Вряд ли разработчики жаждут озабачиваться тем, чтоб свой продукт "подружить" со всеми "коллегами"... Видать, потому то и стали всё чаще появляться комплексные решения - уж их то компоненты дружить обязаны...
Нтресн, кто из этих "комбайнов" удастся лучше...

[Quantum]

Как правило в фаерволлах нету такого, как собсно и в антивирях, т.е. если стоит фаерволл + обыкновенный авер, то всё будет нормально, обычно конфликты возникают когда юзер ставит какую нибудь проактивку (грубо говоря Авер и фаер + эвристик как отдельный модуль, в одном флаконе) и потом уже какой то фаер или авер отдельно, вот тогда и возникаю проблемы, т.е. нужно выбирать между связкой АВ+ФВ или проактивкой

[WWWizard]

Люди, Боже вас упаси этот Avast ставить! Сам тестил его, он НЕ умеет (!) ЛЕЧИТЬ вирусы, единственное, на что эта софтина способна - найти вредонос и удалить файл, в котором он находится.
В базах Аваста нет алгоритмов лечения. Помните об этом, если будете лечить, например, Bagle.a (заражает все исполнимые файлы на компе).
Практика показывает, что в арсенале нужно иметь три антивируса (Каспер, Dr.Web и NOD32). Для домашнего использования лучше ставить Каспера, ибо скорость реакции на новые вири у него хорошая (2 - 5 часов), в то время как у других сей показатель намного хуже (лично отправлял новый вирь в Elvil Software, то есть Авастовцам, и только через 2 месяца и 3 дня его в базы добавили!
Dr.Web - иногда находит вирьё, которое не находит Каспер и НОД (и это не ложняки - то, что он находил отправлял Касперу и оттуда отвечали, что это действительно новый вирь).
NOD32 - из-за единственного преимущества: приличная эвристика.
Ещё одно: лишь Каспер из всех вышеупомянутых антивирей нормально детектирует неизвестные (новые) руткиты с помощью проактива, а это огромный плюс.
Откуда взял данные? Работаю в IT-компании инженером, каждый день приходится спасать компы корпоративных клиентов.

[Quantum]

эвристика нода тормозится любым вызовом функции вроде MoveFileA