Хотелось бы чтобы кто-нибудь протестировал Avira AntiVir насчет самозащиты. 7я версия в этом смысле была слабо защищена. Но говорят в 8й версии это исправили.
Может кто хочет это сделать ??? Хотелось бы услышать мнение знающих людей.
Printable View
Хотелось бы чтобы кто-нибудь протестировал Avira AntiVir насчет самозащиты. 7я версия в этом смысле была слабо защищена. Но говорят в 8й версии это исправили.
Может кто хочет это сделать ??? Хотелось бы услышать мнение знающих людей.
Для начала попробуйте по-очереди убивать процессы антивируса, если хоть один убьётся, это уже плохо :)
Как помню 7-ку, некоторые процессы убивались очень легко :)
Хотелось бы услышать обоснованный ответ, особенно интересно мнение [B]p2u[/B] ;)
[quote=sergey888;218025]Хотелось бы услышать обоснованный ответ, особенно интересно мнение [B]p2u[/B] ;)[/quote]
А собственно, что обосновывать? При желании можно положить любой антивирус :P
[QUOTE=ALEX(XX);218027]А собственно, что обосновывать? При желании можно положить любой антивирус :P[/QUOTE]
+1
Думаю, что [b]sergey888[/b] хочет знать, как легко это получается. Я, однако, не уверен в том, что нужно этим именно здесь заниматься.
* самозащита антивируса для меня лично не первый параметр для оценки его - только если он какие-то другие вещи плохо делает, то тогда это тоже становится параметром
* такие вещи можно делать либо здесь в закрытом разделе (смотрят дети же ;)), или дома у вендора...
Paul
[quote=p2u;218031]+1
Думаю, что [B]sergey888[/B] хочет знать, как легко это получается. Я, однако, не уверен в том, что нужно этим именно здесь заниматься.
* самозащита антивируса для меня лично не первый параметр для оценки его - только если он какие-то другие вещи плохо делает, то тогда это тоже становится параметром
* такие вещи можно делать либо здесь в скрытом разделе (смотрят дети же ;)), или дома у вендора...
Paul[/quote]
Точно. Хочу знать как легко это получается. И я ведь не прошу настоящие сравнительные тесты. Мне просто интересно знать ваше мнение в этом вопросе.
[quote=p2u;218031]+1
* такие вещи можно делать либо здесь в скрытом разделе (смотрят дети же ;)), или дома у вендора...
Paul[/quote]
Можно для меня тупого перевести последний пункт.
[quote=ALEX(XX);218027]А собственно, что обосновывать? При желании можно положить любой антивирус :P[/quote]
Даже не сомневаюсь что можно, но как уже сказал [B][COLOR=Black][URL="http://virusinfo.info/member.php?u=5401"]p2u[/URL][/COLOR] [/B]насколько легко это сделать. ;)
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
Если конкретней, то в принципе меня устраивает Avira AntiVir но меня мало устраивают результаты вот этого теста: [url]http://antimalware.ru/index.phtml?part=tests&test=selfprotection[/url]
Вот и хотелось бы узнать не забыли ли разработчики об этом в новой 8й версии.
[quote=p2u]* такие вещи можно делать либо здесь в скрытом разделе (смотрят дети же ), или дома у вендора...[/quote]
[QUOTE=sergey888;218034] Можно для меня тупого перевести последний пункт.[/QUOTE]
Я потом 'скрытый' раздел (глупая ошибка с моей стороны) исправил на 'закрытый' раздел. Это у нас раздел форума, где могут тестироваться продукты по просьбе самих производителей (= вендоров), но без лишних свидетелей по понятным причинам.
Дети смотрят = попытка на шутку (жестоко убить такой продукт неприятное зрелище)
Дома у вендора = У производителя на форуме, желательно также в закрытом разделе, или у себя дома и потом результат отсылать производителю с подробным техническим описанием, скриншотами, и т.д. (Я этим раньше часто занимался - сейчас это уже не очень интересует меня)...
Paul
[quote=Surfer;218021]Для начала попробуйте по-очереди убивать процессы антивируса, если хоть один убьётся, это уже плохо :)
Как помню 7-ку, некоторые процессы убивались очень легко :)[/quote]
убить можно только GUI
Guard не убить 8)
[QUOTE=mayas;218043] Guard не убить 8)[/QUOTE]
Это не вызов, я надеюсь. ;)
Paul
[quote=mayas;218043]убить можно только GUI
Guard не убить 8)[/quote]
Если бы это было так :D
[quote=ALEX(XX);218049]Если бы это было так :D[/quote]
вообщето так и есть ;)
поставь 8 версию и убедись 8)
сервис тоже остановить не дает из под админа
[quote=mayas;218066]вообщето так и есть ;)
поставь 8 версию и убедись 8)
сервис тоже остановить не дает из под админа[/quote]
Ай-яй-яй, невозможно остановить сервис... Если невозможность остановки сервиса из-под админа даёт 100% самозащиту, то я эмир Биробиджана
[quote=ALEX(XX);218068]Ай-яй-яй, невозможно остановить сервис... Если невозможность остановки сервиса из-под админа даёт 100% самозащиту, то я эмир Биробиджана[/quote]
бугага ктото говорил о 100% самозащите ?
раньше можно было вынести простым батником
[QUOTE]net stop "AntiVir PersonalEdition Premium Guard"[/QUOTE]
далее поубивав его процессы
теперь не работает!
p.s.вынести можно и вашего любимого каспера, не напрягаясь
мне тут как раз утилитка интересная попалась запускаешь, значек каспера пропадает, и самого его уже нет в системе. Правда работает только на KIS
[quote=mayas;218071]p.s.вынести можно и вашего любимого каспера, не напрягаясь
[/quote]
:to_become_senile:Можно. Да и он не мой любимый.
Уважаемые [B]ALEX(XX) и p2u[/B]
Может быть я прошу слишком много. Но хотелось бы увидеть что-то на подобии этого:
[QUOTE]Тестирование самозащиты антивируса:
[B]1. Самозащита на уровне системы:[/B]
1. переписывание хуков;
2. изменение разрешений на доступ к файлам;
3. изменение разрешений на доступ к ключам реестра.
[B] 2. Защита собственных файлов:[/B]
1. модификация/удаление модулей;
2. удаление антивирусных баз.
[B]3. Защита своих ключей реестра:[/B]
1. модификация/удаление значимых ключей реестра (вручную):
* ключи автозапуска;
* ключи сервисов;
* ключи конфигурации.
[B]4. Защита своих процессов:[/B]
[COLOR="Blue"]1. Предотвращение завершения процессов:[/COLOR]
* из TaskManager;
* API с уровня пользователя:
1. стандартно (TerminateProcess);
2. завершить все ветки процесса (TerminateThread);
3. завершить процесс как задачу (EndTask);
4. завершить процесс как работу (EndJob);
5. завершить процесс при помощи дебагера (DebugActiveProcess);
6. модификация указателя инструкций (EIP);
7. сообщение от рабочей станции (WinStationTerminateProcess);
8. "bruteforce" message posting;
9. удаление после перезагрузки.
* посылка сообщений:
1. WM_CLOSE;
2. WM_QUIT;
3. WM_SYSCOMMAND/SC_CLOSE.
* API с уровня ядра:
1. ZwTerminateProcess;
2. ZwTerminateThread.
[COLOR="Blue"]2. Модификация процесса/кода:[/COLOR]
* инжектирование кода (CreateRemoteThread);
* инжектирование DLL;
* изменение атрибутов защиты памяти (VirtualProtectEx);
* запись в процесс (WriteProcessMemory).
[COLOR="Blue"]3. Выгрузка драйверов[/COLOR]
[/QUOTE]
Я не учу вас что делать, как раз я в этом слабо понимаю, иначе уж как-нибудь сам бы все это провернул. ;) И вы не дали обоснованного ответа почему бы не провести тест. Делаю вывод, что просто ни у кого из вас не установлена Avira AntiVir 8й версии, никто из вас ей не пользуется и вам нечего сейчас тестировать. ;)
А жаль, было бы интересно услышать ваши выводы.
[quote=mayas;218071] p.s.вынести можно и вашего любимого каспера, не напрягаясь
мне тут как раз утилитка интересная попалась запускаешь, значек каспера пропадает, и самого его уже нет в системе. Правда работает только на KIS[/quote]
Можно мне, как участнику разработки KIS, взглянуть на эту утилитку в личке? На какой версии KIS Вы ее испытывали? Заранее спасибо.
[quote=sergey888;218101]Делаю вывод, что просто ни у кого из вас не установлена Avira AntiVir 8й версии, никто из вас ей не пользуется и вам нечего сейчас тестировать. ;)
А жаль, было бы интересно услышать ваши выводы.[/quote]
А я делаю ввод :) Если посчитать скольким людям я поставил 7-ку, то мне должны разработчики дать футболку с логотипом их продукта, ну или кружку :D А поколупать, поколупаю 8-ку. Может даже сегодня
[QUOTE=mayas;218071]бугага ктото говорил о 100% самозащите ?
раньше можно было вынести простым батником
далее поубивав его процессы
теперь не работает!
[/QUOTE]
Посмотрел что за самозащита: Ключи свои не защищает, удалил:
[CODE]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AntiVirScheduler
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AntiVirService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avgio
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avgntflt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avipbb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssmdrv[/CODE]
А также параметр автозапуска [CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avgnt[/CODE]
После перезагрузки нечего больше неслышно...
все имхо
[QUOTE]1. Самозащита на уровне системы:
1. переписывание хуков;
2. изменение разрешений на доступ к файлам;
3. изменение разрешений на доступ к ключам реестра.[/QUOTE]
это лишнее
[QUOTE]2. Защита собственных файлов:
1. модификация/удаление модулей;
2. удаление антивирусных баз.[/QUOTE]
неплохо бы
[QUOTE]3. Защита своих ключей реестра:
1. модификация/удаление значимых ключей реестра (вручную):
* ключи автозапуска;
* ключи сервисов;
* ключи конфигурации.[/QUOTE]
тоже
[QUOTE]4. Защита своих процессов:
1. Предотвращение завершения процессов:
* из TaskManager;[/QUOTE]
+ (защит0)
[QUOTE]
* API с уровня пользователя:
1. стандартно (TerminateProcess);
2. завершить все ветки процесса (TerminateThread);
3. завершить процесс как задачу (EndTask);
4. завершить процесс как работу (EndJob);
5. завершить процесс при помощи дебагера (DebugActiveProcess);
6. модификация указателя инструкций (EIP);
7. сообщение от рабочей станции (WinStationTerminateProcess);
8. "bruteforce" message posting;[/QUOTE]
нужные фичи
[QUOTE]9. удаление после перезагрузки.[/QUOTE]
- (нет защит0)
[QUOTE]* посылка сообщений:
1. WM_CLOSE;
2. WM_QUIT;
3. WM_SYSCOMMAND/SC_CLOSE.
[/QUOTE]
неплохо
[QUOTE]* API с уровня ядра:
1. ZwTerminateProcess;
2. ZwTerminateThread.[/QUOTE]
недурно
[QUOTE]2. Модификация процесса/кода:
* инжектирование кода (CreateRemoteThread);
* инжектирование DLL;
* изменение атрибутов защиты памяти (VirtualProtectEx);
* запись в процесс (WriteProcessMemory).[/QUOTE]
лишне
[QUOTE=mayas;218270]все имхо
это лишнее
[CODE]1. Самозащита на уровне системы:
1. переписывание хуков;
2. изменение разрешений на доступ к файлам;
3. изменение разрешений на доступ к ключам реестра.[/CODE]
лишне
[CODE]2. Модификация процесса/кода:
* инжектирование кода (CreateRemoteThread);
* инжектирование DLL;
* изменение атрибутов защиты памяти (VirtualProtectEx);
* запись в процесс (WriteProcessMemory).[/CODE]
[/QUOTE]
Поясните, почему лишнее? :O
Например, возьмем - 1. переписывание хуков;
Сейчас можно просто нейтрализовать перехватчики kernel mode avir-ы и больше она свой процесс защищать не может.