Тестирование AVZ

Для тестинга взял следующие спайваре(взял радномно 10 штук), установивив все на чистую winxp (wmware virtual machine) одновременно:
1. Gator([URL="http://gator.com/download"]http://gator.com/download[/URL])
2. 180 searh asssistance [URL="http://www.180searchassistant.com/install.aspx"]http://www.180searchassistant.com/install.aspx[/URL]
3. xxxtoolbar.com (xxxtoolbar.com)
4. 2nd-thought
[URL="http://www.2nd-thought.com/files/install.exe"]http://www.2nd-thought.com/files/install.exe[/URL]
5. 7FaSSt
[URL="http://7search.com/fasstsearch.htm"]http://7search.com/fasstsearch.htm[/URL]
6. Starware Toolbar
[URL="http://www.starware.com/2.0.0.0/"]http://www.starware.com/2.0.0.0/[/URL]
7. NJStar Asian Explorer
[URL="http://www.njstar.com/asianexplorer/download.php"]http://www.njstar.com/asianexplorer/download.php[/URL]
8. VCatch 5
[URL="http://www.vcatch.com/download.html"]http://www.vcatch.com/download.html[/URL]
9. TryToFind
[URL="http://www.try2find.com/toolbar/setup/"]http://www.try2find.com/toolbar/setup/[/URL]
10.
MegaSearchbar
[URL="http://megasearchbar.com/download.html"]http://megasearchbar.com/download.html[/URL]

Итак потом кинул в систему AVZ последняя версия
1. запустил AVZ
2. Провел исследование системы (sysinfo_1.zip)
3. Запустил сканирование по полной (эврестика на макс итд)
После окончания (лог - avz_log.txt)
Эврестика работает отлично, куча подозрениЙ, только определил далеко не все , оставил все ярлыки и многие установочные файлы видно что вирусов многих у него нет в базе
4.Удаляю все с эвристической чисткой
Штук 10 не хотели удаляться, вообщем оставил их
5. Сохранил папку инфекдет (virus_infected)
6. Сохранил папку карантин (virus_quarantine)
7. Сделал рестарт системы
8. После рестара почти все вирусы остались в системе... удалился только гатор и все тулбары к эксплореу
Тоесть программа никак не помогла
9. Запускаем исследование системы 2 (sysinfo_2.zip)

Итог:

Gator Удален но не полностью
180 searh asssistance НЕ УДАЛЕН
xxxtoolbar.com НЕ УДАЛЕН
2nd-thought НЕ УДАЛЕН
7FaSSt НЕ УДАЛЕН
Starware Toolbar НЕ УДАЛЕН
NJStar Asian Explorer НЕ УДАЛЕН
VCatch 5 НЕ УДАЛЕН
TryToFind Удален но не полностью
MegaSearchbar Удален но не полностью


Получвается что программа при простой попытке удаленния практически бессмысленна

Папки с infetcted и quarantine кинул олегу на майл

p.s. у меня тут винда без русских шрифтов была, так что может я может ошибся в какойнибудь спайваре. но ФАКТ после установки и лечения AVZ практически ничего не поменалось, в системы зараза вся осталась причем он еще и удалил много чего

тоесть получается стандартый тест для юзерской машины иметируюшией реальные условия...

архивы 1 вирус карантин на 1.7 метра вирус инфектед на 10 метров ))

тут система еще 10 мин постояла на которой все проводилось, там вообще страх творился )) блин adware ваще жесть 10 штук а полностью систему захламиили

[QUOTE]оставил все ярлыки[/QUOTE]
А какую опасность несут ярлыки?
[QUOTE]Штук 10 не хотели удаляться,[/QUOTE]
Что значит "не хотели". Ты у них спрашивал разрешения? :)

Я с точки зрения пользователя, после установки этих зверей все ярылки осталась а их там полэкрана )) знаешь это жестко с ссылками на всякие порно сайты, именно не просто некоторые ярлыки на программу !!!

потом я написал что шрифта русского у меня небыло там они не хотелись удаляться AVZ, я особо не стал разбираться, я на работе и времени особо небыло ) делал все по быстрому, причем после теста AVZ я как уже писал сделал 2 архива инфектед - на 10 метров зверей и 2 метра на подоздрения, я думаю у AVZ большие проблемы именно с удалением,

кстати я вот что подумал, можно вылавливать новые вири поставив на комп штук 100 adware а потом собрав AVP? ну или avz )) и так можно даже коллекции сделать

Такую, что пройдя по ним, юзер получает внагрузку еще много чего интересного =)) Вобщем-то, результат для любительской программы, работающей по сигнатурам, предсказуемый...

[QUOTE]потом я написал что шрифта русского у меня небыло там[/QUOTE]
А русский шрифт появляется после установки русского языка для неюникод программ в настройках винды. Дел на 10 секунд. Как можно что-то тестировать даже не читая что пишется.
И потом, я уже Олегу не раз говорил что он неправильно позиционирует программу. АВЗ это не антивирус и не антиспай. АВЗ это набор инструментов для анализа системы и удаления нежелательных программ ручками.
Например посмотрев лог avz_sysinfo2.zip в течении нескольких минут с компьютера вычищается всё лишнее. Ни одна другая антивирусная или антиспай программа не даёт таких возможностей в плане анализа.

[QUOTE=Xen]Такую, что пройдя по ним, юзер получает внагрузку еще много чего интересного =)) Вобщем-то, результат для любительской программы, работающей по сигнатурам, предсказуемый...[/QUOTE]

Ну понеслось... Жизнь д.... и такое прочее. Чужого жука каждый норовит обругать. :) Программа очень мощная, это факт. Я сам лично сколько уже с её помощью гадости придушил. Можно любой продукт назвать отстоем и доказать это, главное правильно подобрать методику... Олег по-моему ни с кого денег за свой продукт не требует. :) Не нравится, не пользуйтесь. Хоть программа и любительская, но можно легко проследить по форуму насколько она выросла и скольким людям помогла. Сорри за флейм.

Легко, я одновремнно на другой винде запустил AVZ где все текст нормальный и смотрел все, а все что надо скопировал, все действия я выполнял правильно, просто насчет удаления несокльких объктов он что то выдавал я пытался почистить но не получалось. а заново тест времени небыло проходить, если бы знал поставил бы русский шрифт )) понимаешь я сначала спаем заражил и тока када avz поставил вспомнил что русский не поставлен

Geset да, я тоже так считаю AVZ ОЧЕНЬ КЛАССНАЯ И ДУМНАЯ ТУЛЗА именно для людей разбирающихся, с помощью нее можно что угодно найти и удалитть, я лишь протестил с точки зрения антиспая

Да насчет Xen, если сравнить systemstable с AVZ то ))) я даже писать не буду, это как хлопушка с термоядерной бобмой

Я не ругал АВЗ ни разу. Покажите мне, где я был не прав. Проблема с малым наполнением базы присутствует, и это факт. Более слабый эвристик, чем хотелось бы - тоже факт, но такова уж технология, чудес не бывает. В плане разборок с руткитами с АВЗ мало кто может сравниться - и это третий факт. Все дело именно в позиционировании продукта. Что касается SystemStable, то все упомянутые спайвари она, скорее всего, удалит без лишних вопросов, в отличие от АВЗ. Но с самым простым юзер-моуд руткитом не справится. Разные ниши, только и всего.

Вдогонку, уж если и ругать АВЗ - то за УЖАСНЫЙ интерфейс. Не в плане красивостей и графики, а именно в плане юзабилити (проблемы с фонтами, цветом шрифтов, сраные гриды и прочее дельфийское наследство =))

Xen про интерфейс я тебе в личку насчет SystemStable кучу всего кинул и с кучей ошибок по GUI !!, в отличие в AVZ по GUI ощибок серьезных нет, все работает через клаву отлично ))

[quote=Tra1toR]Я с точки зрения пользователя, после установки этих зверей все ярылки осталась а их там полэкрана )) знаешь это жестко с ссылками на всякие порно сайты, именно не просто некоторые ярлыки на программу !!!
[/quote]
ярлык - это не вирус и не троян, чего его чистить?
более парадоксальная ситуация, когда антивирус детектирует ярлыки, кукисы и прочую лабуду...

[quote=Xen]Проблема с малым наполнением базы присутствует, и это факт. Более слабый эвристик, чем хотелось бы [/quote]
ну так поможите, люди добрые!
вообще в одиночку такой проект тянуть трудно. тем более, если еще и за заразой гоняться, и базу наполнять.

ярлык - это не вирус и не троян, чего его чистить?
более парадоксальная ситуация, когда антивирус детектирует ярлыки, кукисы и прочую лабуду...

я имею ввиду остаются ярлыки на порносайты и на други объекты с которым потом будет заражение

по идее если *.exe удалять можно и все ярлыки к нему заодно удалить сразу, в этом по идее проблемы быть не должно и это должна делать эвристическое удаление ))

[QUOTE=Tra1toR]
я имею ввиду остаются ярлыки на порносайты и на други объекты с которым потом будет заражение[/QUOTE]
Что бы не было заражения потом нужно апдейты ставить вовремя. А на порносайты пользователь и сам пойдёт без ярлыков :)
Нет, если АВЗ будет еще и кофе готовить и квартиру убирать это будет отлично, но нужно знать предел.

[quote=Geser]
Нет, если АВЗ будет еще и кофе готовить и квартиру убирать это будет отлично, но нужно знать предел.[/quote]
Нееееееееееееееееет!!! Кофе хачуууууууууууууууу!!!
:P

Строго отжег про порносайты )

Трейтор, все твои замечания достаточно справедливы =) просто софтина расчитана на активное юзанье мыши. А что касается АВЗ... ты попробуй как-нибудь полчасика поработать с детальным анализом системы, поймешь, о чем я... или не поймешь. Тут в соседних топиках уже была куча флейма на эту тему.

Что касается в одиночку или нет работать над программой... давно предлагал зарелизить АВЗ под ГПЛ, но у Олега есть некоторые так и не названные соображения против. Так что имеем то, что имеем.

[QUOTE=Xen]Что касается в одиночку или нет работать над программой... давно предлагал зарелизить АВЗ под ГПЛ, но у Олега есть некоторые так и не названные соображения против. Так что имеем то, что имеем.[/QUOTE]
open source? ни в коем случае.

open source ага )) веселуха была бы

[QUOTE=Tra1toR]open source ага )) веселуха была бы[/QUOTE]
а в противном случае я не вижу в GPL особого толка

можно нескромный вопрос? что такое gpl?

[QUOTE=Tra1toR]можно нескромный вопрос? что такое gpl?[/QUOTE]
[url]http://ru.wikipedia.org/wiki/GPL[/url]

а ну да, без октрытого никак

А почему ни в коем случае? кто-нибудь на этом форуме когда-нибудь даст ВНЯТНЫЙ ответ на этот вопрос? =)))

2MOCT: GPL подразумевает open source

[QUOTE=Xen]2MOCT: GPL подразумевает open source[/QUOTE]
Спасибо, но мне уже доложили... лет 7-8 назад.

Если такой продукт пойдет в исходниках, то появятся фальшивые билды, фальшивые базы, фальшивые продукты на базе исходников, будут искаться уязвимости в коде и активно применяться для обхода или эксплоитирования. И т.д.

MOCT, если доложили, то странен твой коммент.. впрочем, ладно, не о том речь.

Упомянутый тобою подход называется security thru obscurity и ни к чему хорошему не приводил... в глобальных масштабах ;) хакдеф был первой ласточкой, при более широком распространении АВЗ последуют и другие. Ведь вовсе не так сложно предотвратить отработ софтины даже при закрытости ее кодов. А в случае открытости мы имеем как несравненно более бурное ее развитие, включая залатывание дыр, так и возможность построения собственных билдов продвинутыми админами, для которых, собственно, утилита и предназначается на самом деле. А фальшивые базы... достаточно пользоваться оригинальными билдами от мейнтейнеров проекта и все будет ок ;-)

[QUOTE=Xen]MOCT, если доложили, то странен твой коммент.. впрочем, ладно, не о том речь.

Упомянутый тобою подход называется security thru obscurity и ни к чему хорошему не приводил... в глобальных масштабах ;) хакдеф был первой ласточкой, при более широком распространении АВЗ последуют и другие. Ведь вовсе не так сложно предотвратить отработ софтины даже при закрытости ее кодов. А в случае открытости мы имеем как несравненно более бурное ее развитие, включая залатывание дыр, так и возможность построения собственных билдов продвинутыми админами, для которых, собственно, утилита и предназначается на самом деле. А фальшивые базы... достаточно пользоваться оригинальными билдами от мейнтейнеров проекта и все будет ок ;-)[/QUOTE]
Мы будем иметь не бурное развитие, а появление платных программ на его основе (с названием AV<вписать свои инициалы>). Единственный известный мне антивирь с открытым исходником - ClamAV. Ну и где его бурное развитие, фантистические возможности, залатывание дыр ?! Его самого как вел 1-2 интизиаста, так и ведут ... и возможности продукта за несколько лет практически не изменились.
Я могу привести статистику - за год ко мне обратилось не менее двухсот человек с настоятельной просьбой получить исходники, но [B]ни один[/B] не обратился с предложением вида "я вот предлагаю новую функцию AVZ, вот концепт-код (или алгоритм) предлагаемого". Причем вторая особенности - наиболее настырно жаждут "обеспечить бурное разватие" люди, пытающиеся писать и продавать что-то подобное. Или пытающиеся "организовать дело" в роли минимум директора ...
Возникает вопрос - мне это надо ?? Т.е. какой резон мне брать и делать открытым детально комметированный код, на создание которого потрачено много времени и который применяется в том числе для других моих разработок ? Какой резон делать открытыми базы, которые формировались не один год ?

Ага, спасибо, вопрос ясен.

[QUOTE=Xen]MOCT, если доложили, то странен твой коммент.. впрочем, ладно, не о том речь.
[/QUOTE]
ну вот слово ГПЛ для меня ничего не говорит. мало ли что это такое? глубинная подводная лодка. геи против лесбиянок. голова почти лопнула... поэтому и уточнаю, что это именно то, о чем я подумал.
:P

[QUOTE=Xen]
Ведь вовсе не так сложно предотвратить отработ софтины даже при закрытости ее кодов. А в случае открытости мы имеем как несравненно более бурное ее развитие, включая залатывание дыр, так и возможность построения собственных билдов продвинутыми админами, для которых, собственно, утилита и предназначается на самом деле. А фальшивые базы... достаточно пользоваться оригинальными билдами от мейнтейнеров проекта и все будет ок ;-)[/QUOTE]
в случае открытости мы поимеем на порядок больше доступных широким слоям уязвимостей, как это имеет место быть в *nix. далеко не каждый будет дизасмить программу, а вот текст с комментариями почитать - самое то. в залатывание дыр я уже не верю, каждый будет грести под себя. всякие там emule с открытыми кодами тому пример. вместо развития одной нормальной программы появляется десяток клонов сомнительного качества, каждый друг у друга тырит новинки, а про автора-родоначальника все благополучно забыли. gpl хорош тогда, когда сам автор решил завязать с проектом, но душить его жалко. или при релизе троянов: вот вам исходники, кто откомпилировал - тот сам дурак.

Может просто расширить коллектив AVZ, я готов тестить иногда его потому весчь оч хорошая и людей думаю набереться не мало, просто сделать отдельно команду которая сигнатуры бы заносила если уж на то пошло, а всю начинку олег бы сам делал

[QUOTE=Tra1toR]я готов тестить иногда его потому весчь оч хорошая [/QUOTE]
так тестируй уже сейчас, кто же мешает ;-)

Да, к сожалению, так в основном и получается. Появляются бессмысленные форки, в которых меняется в основном название %)) нарушается GPL, выходит кривой коммерческий софт... но со всем этим имхо можно и нужно бороться. Я не в первый раз поднимаю эту тему, просто очень обидно, что такой замечательный продукт прозябает в относительной беззвестности. Выпустил бы Олег коммерческий вариант, я бы его с удовольствием попродавал %) безо всяких претензий на исходники и все такое прочее. Тем более что сурс большинства ключевых функций в принципе доступен... но поддерживать и развивать все это дело элементарно нет времени.

2МОСТ, про юникс уязвимости ты конкретно отжег =) не сваливаясь во флейм могу заметить, что самой Майкрософт открытие исходников Винды приравнивалось к национальному бедствию =)) А эксплоиты под win32 "широким слоям" доступны гораздо более, нежели еще какие.

2Олег, касательно предложений со стороны с концепт-кодом. Надо заметить, что мало кто готов на благотворительных началах предложить код, который войдет в закрытый продукт, будет использоваться неизвестно где еще и т.д. и т.п.

[QUOTE=Xen]Да, к сожалению, так в основном и получается. Появляются бессмысленные форки, в которых меняется в основном название %)) нарушается GPL, выходит кривой коммерческий софт... но со всем этим имхо можно и нужно бороться.
[/QUOTE]
как автор будет с этим бороться, если это GPL??? тем более в нашей стране, где на все писульки в электронном виде все чихать хотели. если нет бумаги с печатью - то и претензии предъявлять некому.

[QUOTE=Xen]
Я не в первый раз поднимаю эту тему, просто очень обидно, что такой замечательный продукт прозябает в относительной беззвестности.
[/QUOTE]
Блин, ну рекламируйте в своих кругах!
Я и своих коллег местных к программе приучил, и всех кто приезжает к нам набираться опыта тоже на это дело подсаживаю и всячески рекламирую! Потом они разъезжаются по всей стране и начинают уже у себя на местах продвигать программу.
Если программа хорошая, то и реклама особая ей не потребуется. Это будет как броуновское движение - одна возбудившаяся частица передает возбуждение окружающим.

[QUOTE=Xen]
Выпустил бы Олег коммерческий вариант, я бы его с удовольствием попродавал %) безо всяких претензий на исходники и все такое прочее. Тем более что сурс большинства ключевых функций в принципе доступен... но поддерживать и развивать все это дело элементарно нет времени.
[/QUOTE]
коммерческий продукт подразумевает саппорт. что-то не заладилось, что-то не пошло - сразу нужно дать квалифицированный ответ.
если автор один, то это лишний геморрой себе на шею.

[QUOTE=Xen]
2МОСТ, про юникс уязвимости ты конкретно отжег =) не сваливаясь во флейм могу заметить, что самой Майкрософт открытие исходников Винды приравнивалось к национальному бедствию =)) А эксплоиты под win32 "широким слоям" доступны гораздо более, нежели еще какие.
[/QUOTE]
ну вот за 8 месяцев этого года было обнаружено более 1000 уязвимостей в осях с открытым кодом. и то, что эти эксплоиты широко не распространены является следствием того, что и сами *nix оси еще поискать стоит...

[QUOTE=Xen]
2Олег, касательно предложений со стороны с концепт-кодом. Надо заметить, что мало кто готов на благотворительных началах предложить код, который войдет в закрытый продукт, будет использоваться неизвестно где еще и т.д. и т.п.[/QUOTE]
я готов предложить, правда не код, а всего лишь идею. серьезный антивирус (типа нода и т.п.) такое себе позволить не сможет, а вот для эвристики AVZ лишний плюс не помешает. а тот тут (чуть выше) говорилась что эвристика слабая - ну так надо ее усилить ;)