# Форум на русском языке  > Аналитика  > Тестирование  >  Тестирование AVZ

## Tra1toR

Для тестинга взял следующие спайваре(взял радномно 10 штук), установивив все на чистую winxp (wmware virtual machine) одновременно:
1. Gator(http://gator.com/download)
2. 180 searh asssistance  http://www.180searchassistant.com/install.aspx
3. xxxtoolbar.com (xxxtoolbar.com)
4. 2nd-thought 
http://www.2nd-thought.com/files/install.exe
5. 7FaSSt
http://7search.com/fasstsearch.htm
6. Starware Toolbar  
http://www.starware.com/2.0.0.0/
7. NJStar Asian Explorer  
http://www.njstar.com/asianexplorer/download.php
8. VCatch 5
http://www.vcatch.com/download.html
9. TryToFind 
http://www.try2find.com/toolbar/setup/
10. 
 MegaSearchbar
http://megasearchbar.com/download.html

Итак потом кинул в систему AVZ последняя версия
1. запустил AVZ
2. Провел исследование системы (sysinfo_1.zip)
3. Запустил сканирование по полной (эврестика на макс итд)
После окончания (лог - avz_log.txt)
Эврестика работает отлично, куча подозрениЙ, только определил далеко не все , оставил все ярлыки и многие установочные файлы видно что вирусов многих у него нет  в базе
4.Удаляю все с эвристической чисткой
Штук 10 не хотели удаляться, вообщем  оставил их
5. Сохранил папку инфекдет (virus_infected)
6. Сохранил папку карантин (virus_quarantine)
7. Сделал рестарт системы
8. После рестара почти все вирусы остались в системе... удалился только гатор и все тулбары к эксплореу
 Тоесть программа никак не помогла
9. Запускаем исследование системы 2 (sysinfo_2.zip)

Итог:

Gator Удален но не полностью
180 searh asssistance   НЕ УДАЛЕН
xxxtoolbar.com НЕ УДАЛЕН
2nd-thought  НЕ УДАЛЕН
7FaSSt НЕ УДАЛЕН
Starware Toolbar  НЕ УДАЛЕН
NJStar Asian Explorer  НЕ УДАЛЕН
VCatch 5 НЕ УДАЛЕН
TryToFind Удален но не полностью
MegaSearchbar Удален но не полностью


Получвается что программа при простой попытке удаленния практически бессмысленна

Папки с infetcted и quarantine кинул олегу на майл

p.s. у меня тут винда без русских шрифтов была, так что может я может ошибся в какойнибудь спайваре. но ФАКТ после установки и лечения AVZ практически ничего не поменалось, в  системы зараза вся осталась причем он еще и удалил много чего

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Tra1toR

тоесть получается стандартый тест для юзерской машины иметируюшией реальные условия...

----------


## Tra1toR

архивы 1 вирус карантин на 1.7 метра вирус инфектед на 10 метров ))

----------


## Tra1toR

тут система еще 10 мин постояла на которой все проводилось, там вообще страх творился )) блин adware ваще жесть 10 штук а полностью систему захламиили

----------


## Geser

> оставил все ярлыки


А какую опасность несут ярлыки?



> Штук 10 не хотели удаляться,


Что значит "не хотели". Ты у них спрашивал разрешения?  :Smiley:

----------


## Tra1toR

Я  с точки зрения пользователя, после установки этих зверей все ярылки осталась а их там полэкрана )) знаешь это жестко с ссылками на всякие порно сайты, именно не просто некоторые ярлыки на программу !!!

потом я написал что шрифта русского у меня небыло там они не хотелись удаляться AVZ, я особо не стал разбираться, я на работе и времени особо небыло ) делал все по быстрому,  причем после теста AVZ я как уже писал сделал 2 архива инфектед - на 10 метров зверей и 2 метра на подоздрения,  я  думаю у AVZ большие проблемы именно с удалением, 

кстати я вот что подумал, можно вылавливать новые вири поставив на комп штук 100 adware а потом собрав AVP? ну или avz )) и так можно даже коллекции сделать

----------


## Xen

Такую, что пройдя по ним, юзер получает внагрузку еще много чего интересного =)) Вобщем-то, результат для любительской программы, работающей по сигнатурам, предсказуемый...

----------


## Geser

> потом я написал что шрифта русского у меня небыло там


А русский шрифт появляется после установки русского языка для неюникод программ в настройках винды. Дел на 10 секунд. Как можно что-то тестировать даже не читая что пишется.
И потом, я уже Олегу не раз говорил что он неправильно позиционирует программу. АВЗ это не антивирус и не антиспай. АВЗ это набор инструментов для анализа системы и удаления нежелательных программ ручками.
Например посмотрев лог avz_sysinfo2.zip в течении нескольких минут с компьютера вычищается всё лишнее. Ни одна другая антивирусная или антиспай программа не даёт таких возможностей в плане анализа.

----------


## ALEX(XX)

> Такую, что пройдя по ним, юзер получает внагрузку еще много чего интересного =)) Вобщем-то, результат для любительской программы, работающей по сигнатурам, предсказуемый...


Ну понеслось... Жизнь д.... и такое прочее. Чужого жука каждый норовит обругать.  :Smiley:  Программа очень мощная, это факт. Я сам лично сколько уже с её помощью гадости придушил. Можно любой продукт назвать отстоем и доказать это, главное правильно подобрать методику... Олег по-моему ни с кого денег за свой продукт не требует.  :Smiley:  Не нравится, не пользуйтесь. Хоть программа и любительская, но можно легко проследить по форуму насколько она выросла и скольким людям помогла. Сорри за флейм.

----------


## Tra1toR

Легко, я одновремнно на другой винде запустил AVZ где все текст нормальный и смотрел все, а все что надо скопировал, все действия я выполнял правильно, просто насчет удаления несокльких объктов он что то выдавал я пытался почистить но не получалось. а заново тест времени небыло проходить, если бы знал поставил бы русский шрифт )) понимаешь я сначала спаем заражил и тока када avz поставил вспомнил что русский не поставлен

----------


## Tra1toR

Geset да, я тоже так считаю  AVZ ОЧЕНЬ КЛАССНАЯ И ДУМНАЯ ТУЛЗА именно для людей разбирающихся, с помощью нее можно что угодно найти и удалитть, я лишь протестил с точки зрения антиспая

----------


## Tra1toR

Да насчет Xen, если сравнить systemstable с AVZ то ))) я даже писать не буду, это как хлопушка с термоядерной бобмой

----------


## Xen

Я не ругал АВЗ ни разу. Покажите мне, где я был не прав. Проблема с малым наполнением базы присутствует, и это факт. Более слабый эвристик, чем хотелось бы - тоже факт, но такова уж технология, чудес не бывает. В плане разборок с руткитами с АВЗ мало кто может сравниться - и это третий факт. Все дело именно в позиционировании продукта. Что касается SystemStable, то все упомянутые спайвари она, скорее всего, удалит без лишних вопросов, в отличие от АВЗ. Но с самым простым юзер-моуд руткитом не справится. Разные ниши, только и всего.

----------


## Xen

Вдогонку, уж если и ругать АВЗ - то за УЖАСНЫЙ интерфейс. Не в плане красивостей и графики, а именно в плане юзабилити (проблемы с фонтами, цветом шрифтов, сраные гриды и прочее дельфийское наследство =))

----------


## Tra1toR

Xen про интерфейс я тебе в личку насчет SystemStable кучу всего кинул и с кучей ошибок по GUI !!, в отличие в AVZ по GUI ощибок серьезных нет, все работает через клаву отлично ))

----------


## MOCT

> Я с точки зрения пользователя, после установки этих зверей все ярылки осталась а их там полэкрана )) знаешь это жестко с ссылками на всякие порно сайты, именно не просто некоторые ярлыки на программу !!!


ярлык - это не вирус и не троян, чего его чистить?
более парадоксальная ситуация, когда антивирус детектирует ярлыки, кукисы и прочую лабуду...

----------


## MOCT

> Проблема с малым наполнением базы присутствует, и это факт. Более слабый эвристик, чем хотелось бы


ну так поможите, люди добрые!
вообще в одиночку такой проект тянуть трудно. тем более, если еще и за заразой гоняться, и базу наполнять.

----------


## Tra1toR

ярлык - это не вирус и не троян, чего его чистить?
более парадоксальная ситуация, когда антивирус детектирует ярлыки, кукисы и прочую лабуду...

я имею ввиду остаются ярлыки на порносайты и на други объекты с которым потом будет заражение

----------


## Tra1toR

по идее если *.exe удалять можно и все ярлыки к нему заодно удалить сразу, в этом по идее проблемы быть не должно и это должна делать эвристическое удаление ))

----------


## Geser

> я имею ввиду остаются ярлыки на порносайты и на други объекты с которым потом будет заражение


Что бы не было заражения потом нужно апдейты ставить вовремя. А на порносайты пользователь и сам пойдёт без ярлыков  :Smiley: 
Нет, если АВЗ будет еще и кофе готовить и квартиру убирать это будет отлично, но нужно знать предел.

----------


## MOCT

> Нет, если АВЗ будет еще и кофе готовить и квартиру убирать это будет отлично, но нужно знать предел.


Нееееееееееееееееет!!! Кофе хачуууууууууууууууу!!!
 :Stick Out Tongue:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Tra1toR

Строго отжег про порносайты )

----------


## Xen

Трейтор, все твои замечания достаточно справедливы =) просто софтина расчитана на активное юзанье мыши. А что касается АВЗ... ты попробуй как-нибудь полчасика поработать с детальным анализом системы, поймешь, о чем я... или не поймешь. Тут в соседних топиках уже была куча флейма на эту тему.

Что касается в одиночку или нет работать над программой... давно предлагал зарелизить АВЗ под ГПЛ, но у Олега есть некоторые так и не названные соображения против. Так что имеем то, что имеем.

----------


## MOCT

> Что касается в одиночку или нет работать над программой... давно предлагал зарелизить АВЗ под ГПЛ, но у Олега есть некоторые так и не названные соображения против. Так что имеем то, что имеем.


open source? ни в коем случае.

----------


## Tra1toR

open source ага )) веселуха была бы

----------


## MOCT

> open source ага )) веселуха была бы


а в противном случае я не вижу в GPL особого толка

----------


## Tra1toR

можно нескромный вопрос? что такое gpl?

----------


## MOCT

> можно нескромный вопрос? что такое gpl?


http://ru.wikipedia.org/wiki/GPL

----------


## Tra1toR

а ну да, без октрытого никак

----------


## Xen

А почему ни в коем случае? кто-нибудь на этом форуме когда-нибудь даст ВНЯТНЫЙ ответ на этот вопрос? =)))

----------


## Xen

2MOCT: GPL подразумевает open source

----------


## MOCT

> 2MOCT: GPL подразумевает open source


Спасибо, но мне уже доложили... лет 7-8 назад.

Если такой продукт пойдет в исходниках, то появятся фальшивые билды, фальшивые базы, фальшивые продукты на базе исходников, будут искаться уязвимости в коде и активно применяться для обхода или эксплоитирования. И т.д.

----------


## Xen

MOCT, если доложили, то странен твой коммент.. впрочем, ладно, не о том речь.

Упомянутый тобою подход называется security thru obscurity и ни к чему хорошему не приводил... в глобальных масштабах  :Wink:  хакдеф был первой ласточкой, при более широком распространении АВЗ последуют и другие. Ведь вовсе не так сложно предотвратить отработ софтины даже при закрытости ее кодов. А в случае открытости мы имеем как несравненно более бурное ее развитие, включая залатывание дыр, так и возможность построения собственных билдов продвинутыми админами, для которых, собственно, утилита и предназначается на самом деле. А фальшивые базы... достаточно пользоваться оригинальными билдами от мейнтейнеров проекта и все будет ок ;-)

----------


## Зайцев Олег

> MOCT, если доложили, то странен твой коммент.. впрочем, ладно, не о том речь.
> 
> Упомянутый тобою подход называется security thru obscurity и ни к чему хорошему не приводил... в глобальных масштабах  хакдеф был первой ласточкой, при более широком распространении АВЗ последуют и другие. Ведь вовсе не так сложно предотвратить отработ софтины даже при закрытости ее кодов. А в случае открытости мы имеем как несравненно более бурное ее развитие, включая залатывание дыр, так и возможность построения собственных билдов продвинутыми админами, для которых, собственно, утилита и предназначается на самом деле. А фальшивые базы... достаточно пользоваться оригинальными билдами от мейнтейнеров проекта и все будет ок ;-)


Мы будем иметь не бурное развитие, а появление платных программ на его основе (с названием AV<вписать свои инициалы>). Единственный известный мне антивирь с открытым исходником - ClamAV. Ну и где его бурное развитие, фантистические возможности, залатывание дыр ?! Его самого как вел 1-2 интизиаста, так и ведут ... и возможности продукта за несколько лет практически не изменились.
Я могу привести статистику - за год ко мне обратилось не менее двухсот человек с настоятельной просьбой получить исходники, но *ни один* не обратился с предложением вида "я вот предлагаю новую функцию AVZ, вот концепт-код (или алгоритм) предлагаемого". Причем вторая особенности - наиболее настырно жаждут "обеспечить бурное разватие" люди, пытающиеся писать и продавать что-то подобное. Или пытающиеся "организовать дело" в роли минимум директора ... 
Возникает вопрос - мне это надо ?? Т.е. какой резон мне брать и делать открытым детально комметированный код, на создание которого потрачено много времени и который применяется в том числе для других моих разработок ? Какой резон делать открытыми базы, которые формировались не один год ?

----------


## Xen

Ага, спасибо, вопрос ясен.

----------


## MOCT

> MOCT, если доложили, то странен твой коммент.. впрочем, ладно, не о том речь.


ну вот слово ГПЛ для меня ничего не говорит. мало ли что это такое? глубинная подводная лодка. геи против лесбиянок. голова почти лопнула... поэтому и уточнаю, что это именно то, о чем я подумал.
 :Stick Out Tongue:  




> Ведь вовсе не так сложно предотвратить отработ софтины даже при закрытости ее кодов. А в случае открытости мы имеем как несравненно более бурное ее развитие, включая залатывание дыр, так и возможность построения собственных билдов продвинутыми админами, для которых, собственно, утилита и предназначается на самом деле. А фальшивые базы... достаточно пользоваться оригинальными билдами от мейнтейнеров проекта и все будет ок ;-)


в случае открытости мы поимеем на порядок больше доступных широким слоям уязвимостей, как это имеет место быть в *nix. далеко не каждый будет дизасмить программу, а вот текст с комментариями почитать - самое то. в залатывание дыр я уже не верю, каждый будет грести под себя. всякие там emule с открытыми кодами тому пример. вместо развития одной нормальной программы появляется десяток клонов сомнительного качества, каждый друг у друга тырит новинки, а про автора-родоначальника все благополучно забыли. gpl хорош тогда, когда сам автор решил завязать с проектом, но душить его жалко. или при релизе троянов: вот вам исходники, кто откомпилировал - тот сам дурак.

----------


## Tra1toR

Может просто расширить коллектив AVZ, я готов тестить иногда его потому весчь оч хорошая и людей думаю набереться не мало, просто сделать отдельно команду которая сигнатуры бы заносила если уж на то пошло, а всю начинку олег бы сам делал

----------


## MOCT

> я готов тестить иногда его потому весчь оч хорошая


так тестируй уже сейчас, кто же мешает ;-)

----------


## Xen

Да, к сожалению, так в основном и получается. Появляются бессмысленные форки, в которых меняется в основном название %)) нарушается GPL, выходит кривой коммерческий софт... но со всем этим имхо можно и нужно бороться. Я не в первый раз поднимаю эту тему, просто очень обидно, что такой замечательный продукт прозябает в относительной беззвестности. Выпустил бы Олег коммерческий вариант, я бы его с удовольствием попродавал %) безо всяких претензий на исходники и все такое прочее. Тем более что сурс большинства ключевых функций в принципе доступен... но поддерживать и развивать все это дело элементарно нет времени.

2МОСТ, про юникс уязвимости ты конкретно отжег =) не сваливаясь во флейм могу заметить, что самой Майкрософт открытие исходников Винды приравнивалось к национальному бедствию =)) А эксплоиты под win32 "широким слоям" доступны гораздо более, нежели еще какие.

2Олег, касательно предложений со стороны с концепт-кодом. Надо заметить, что мало кто готов на благотворительных началах предложить код, который войдет в закрытый продукт, будет использоваться неизвестно где еще и т.д. и т.п.

----------


## MOCT

> Да, к сожалению, так в основном и получается. Появляются бессмысленные форки, в которых меняется в основном название %)) нарушается GPL, выходит кривой коммерческий софт... но со всем этим имхо можно и нужно бороться.


как автор будет с этим бороться, если это GPL??? тем более в нашей стране, где на все писульки в электронном виде все чихать хотели. если нет бумаги с печатью - то и претензии предъявлять некому.




> Я не в первый раз поднимаю эту тему, просто очень обидно, что такой замечательный продукт прозябает в относительной беззвестности.


Блин, ну рекламируйте в своих кругах!
Я и своих коллег местных к программе приучил, и всех кто приезжает к нам набираться опыта тоже на это дело подсаживаю и всячески рекламирую! Потом они разъезжаются по всей стране и начинают уже у себя на местах продвигать программу.
Если программа хорошая, то и реклама особая ей не потребуется. Это будет как броуновское движение - одна возбудившаяся частица передает возбуждение окружающим.




> Выпустил бы Олег коммерческий вариант, я бы его с удовольствием попродавал %) безо всяких претензий на исходники и все такое прочее. Тем более что сурс большинства ключевых функций в принципе доступен... но поддерживать и развивать все это дело элементарно нет времени.


коммерческий продукт подразумевает саппорт. что-то не заладилось, что-то не пошло - сразу нужно дать квалифицированный ответ.
если автор один, то это лишний геморрой себе на шею.




> 2МОСТ, про юникс уязвимости ты конкретно отжег =) не сваливаясь во флейм могу заметить, что самой Майкрософт открытие исходников Винды приравнивалось к национальному бедствию =)) А эксплоиты под win32 "широким слоям" доступны гораздо более, нежели еще какие.


ну вот за 8 месяцев этого года было обнаружено более 1000 уязвимостей в осях с открытым кодом. и то, что эти эксплоиты широко не распространены является следствием того, что и сами *nix оси еще поискать стоит...




> 2Олег, касательно предложений со стороны с концепт-кодом. Надо заметить, что мало кто готов на благотворительных началах предложить код, который войдет в закрытый продукт, будет использоваться неизвестно где еще и т.д. и т.п.


я готов предложить, правда не код, а всего лишь идею. серьезный антивирус (типа нода и т.п.) такое себе позволить не сможет, а вот для эвристики AVZ лишний плюс не помешает. а тот тут (чуть выше) говорилась что эвристика слабая - ну так надо ее усилить  :Wink:

----------


## Tra1toR

Знайте есть выход, ! английский вариант делается платным а русский бесплатный это много где применяли и оч прикольно !!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Xen

> Знайте есть выход, ! английский вариант делается платным а русский бесплатный


именно это я и имел ввиду

----------


## Xen

2МОСТ, ты вообще с *nix-осями... в каких отношениях? а то как-то не совсем адекватно комментируешь эту тему, сорри. Был бы тут Муромец, задал бы жару =))

Эхх, оффтопик пошел... =))))

----------


## Tra1toR

Xen тада если знаешь выпусти русскую версию БЕСПЛАТНОЙ своей тулзы. тада с радостью ее протестирую )

----------


## Tra1toR

Кстати седня вот обнаружил машину с 50 адварами у себя, ну значит решил туда AVZ пихнуть, в итоге он там опять же практически ничего не нашел, только снадартные, вот вообщем лог, но там в 100 раз больше всякго дерьма еще осталось ))

TO ОЛег:
Я там в теме для новичком, сделал спискок "SPyware и где их скачать" ты бы занес их все к себе в базу )) а то из этого списка мало что детектит

----------


## pig

> TO ОЛег:
> Я там в теме для новичком, сделал спискок "SPyware и где их скачать" ты бы занес их все к себе в базу )) а то из этого списка мало что детектит


Если всё уже скачано, пришли Олегу отсортированную подборку, чтобы он лишнюю работу не делал. И будет тебе общая благодарность.

----------


## Зайцев Олег

> Кстати седня вот обнаружил машину с 50 адварами у себя, ну значит решил туда AVZ пихнуть, в итоге он там опять же практически ничего не нашел, только снадартные, вот вообщем лог, но там в 100 раз больше всякго дерьма еще осталось ))
> 
> TO ОЛег:
> Я там в теме для новичком, сделал спискок "SPyware и где их скачать" ты бы занес их все к себе в базу )) а то из этого списка мало что детектит


В том списке очень много не является SpyWare ... например, там куча кейлоггеров, которые идет с полноценным инсталлером - т.е. это не троян, который скрытно залез на ПК. Или некая панель, для установки которой нужно сто раз нажимать на страничках подтверждение и которая собственно ничего опасного то не делает. Я такие в базы не вношу ...   Кстати по этой причине у меня в базе нет mail-ru agent, google toolbar, yandex bar - если подозреваемый не бузит и не безобразничает, или для его установки нужно вручную запустить инсталл, то я не вношу его в базы. 
PS - если было 50 адварей и осталось в 100 раз больше, то это будет 50*100 = 5000 зверей. Хороший был ПК  :Smiley:

----------


## Tra1toR

не на этой машине было именно adware

----------


## Tra1toR

кстати goole yandex итд ЭТО ХОРОШИЕ ТУЛБАРЫ !!! они внесены во всех спаях как хороши е а вот плохие ты зря не вносишь

----------


## Tra1toR

PS - если было 50 адварей и осталось в 100 раз больше, то это будет 50*100 = 5000 зверей. Хороший был ПК 

Я именно про объекты звервей, дллки их ехе итд...тоесть протсто иинифицированные объекты

----------


## Jolly Rojer

Мое мнение такое, что AVZ нормальный продукт,а ведь это проэкт одного человека+ко всему не коммерческий!!! Если взять в целом то многие коммерческие продукты отдыхают...... Кому не нравится пусть не пользуются! Что я могу еще сказать..... так это огромное  спасибо Олегу !!! Лично меня AVZ выручал много раз в трудную минуту!

----------


## Tra1toR

а кто спорит avz афигенный продутк, только это больше утилита по отлову вирусов и спайваре чем просто антиспайваре

----------


## MOCT

> 2МОСТ, ты вообще с *nix-осями... в каких отношениях? а то как-то не совсем адекватно комментируешь эту тему, сорри.


отношения у нас хорошие, но большой популярностью у меня они не пользуются.
это мое видение действительности. возможно однобокое. но уж как досталось, так и вижу.




> Эхх, оффтопик пошел... =))))


тады завязываем...

----------

