Хотелось бы чтобы кто-нибудь протестировал Avira AntiVir насчет самозащиты. 7я версия в этом смысле была слабо защищена. Но говорят в 8й версии это исправили.
Может кто хочет это сделать ??? Хотелось бы услышать мнение знающих людей.
Хотелось бы чтобы кто-нибудь протестировал Avira AntiVir насчет самозащиты. 7я версия в этом смысле была слабо защищена. Но говорят в 8й версии это исправили.
Может кто хочет это сделать ??? Хотелось бы услышать мнение знающих людей.
Для начала попробуйте по-очереди убивать процессы антивируса, если хоть один убьётся, это уже плохо
Как помню 7-ку, некоторые процессы убивались очень легко
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
Хотелось бы услышать обоснованный ответ, особенно интересно мнение p2u
+1
Думаю, что sergey888 хочет знать, как легко это получается. Я, однако, не уверен в том, что нужно этим именно здесь заниматься.
* самозащита антивируса для меня лично не первый параметр для оценки его - только если он какие-то другие вещи плохо делает, то тогда это тоже становится параметром
* такие вещи можно делать либо здесь в закрытом разделе (смотрят дети же ), или дома у вендора...
Paul
Точно. Хочу знать как легко это получается. И я ведь не прошу настоящие сравнительные тесты. Мне просто интересно знать ваше мнение в этом вопросе.
Можно для меня тупого перевести последний пункт.
Даже не сомневаюсь что можно, но как уже сказал p2u насколько легко это сделать.
Добавлено через 7 минут
Если конкретней, то в принципе меня устраивает Avira AntiVir но меня мало устраивают результаты вот этого теста: http://antimalware.ru/index.phtml?pa...selfprotection
Вот и хотелось бы узнать не забыли ли разработчики об этом в новой 8й версии.
Я потом 'скрытый' раздел (глупая ошибка с моей стороны) исправил на 'закрытый' раздел. Это у нас раздел форума, где могут тестироваться продукты по просьбе самих производителей (= вендоров), но без лишних свидетелей по понятным причинам.Сообщение от p2u
Дети смотрят = попытка на шутку (жестоко убить такой продукт неприятное зрелище)
Дома у вендора = У производителя на форуме, желательно также в закрытом разделе, или у себя дома и потом результат отсылать производителю с подробным техническим описанием, скриншотами, и т.д. (Я этим раньше часто занимался - сейчас это уже не очень интересует меня)...
Paul
бугага ктото говорил о 100% самозащите ?
раньше можно было вынести простым батником
далее поубивав его процессыnet stop "AntiVir PersonalEdition Premium Guard"
теперь не работает!
p.s.вынести можно и вашего любимого каспера, не напрягаясь
мне тут как раз утилитка интересная попалась запускаешь, значек каспера пропадает, и самого его уже нет в системе. Правда работает только на KIS
Уважаемые ALEX(XX) и p2u
Может быть я прошу слишком много. Но хотелось бы увидеть что-то на подобии этого:
Я не учу вас что делать, как раз я в этом слабо понимаю, иначе уж как-нибудь сам бы все это провернул. И вы не дали обоснованного ответа почему бы не провести тест. Делаю вывод, что просто ни у кого из вас не установлена Avira AntiVir 8й версии, никто из вас ей не пользуется и вам нечего сейчас тестировать.Тестирование самозащиты антивируса:
1. Самозащита на уровне системы:
1. переписывание хуков;
2. изменение разрешений на доступ к файлам;
3. изменение разрешений на доступ к ключам реестра.
2. Защита собственных файлов:
1. модификация/удаление модулей;
2. удаление антивирусных баз.
3. Защита своих ключей реестра:
1. модификация/удаление значимых ключей реестра (вручную):
* ключи автозапуска;
* ключи сервисов;
* ключи конфигурации.
4. Защита своих процессов:
1. Предотвращение завершения процессов:
* из TaskManager;
* API с уровня пользователя:
1. стандартно (TerminateProcess);
2. завершить все ветки процесса (TerminateThread);
3. завершить процесс как задачу (EndTask);
4. завершить процесс как работу (EndJob);
5. завершить процесс при помощи дебагера (DebugActiveProcess);
6. модификация указателя инструкций (EIP);
7. сообщение от рабочей станции (WinStationTerminateProcess);
8. "bruteforce" message posting;
9. удаление после перезагрузки.
* посылка сообщений:
1. WM_CLOSE;
2. WM_QUIT;
3. WM_SYSCOMMAND/SC_CLOSE.
* API с уровня ядра:
1. ZwTerminateProcess;
2. ZwTerminateThread.
2. Модификация процесса/кода:
* инжектирование кода (CreateRemoteThread);
* инжектирование DLL;
* изменение атрибутов защиты памяти (VirtualProtectEx);
* запись в процесс (WriteProcessMemory).
3. Выгрузка драйверов
А жаль, было бы интересно услышать ваши выводы.
Посмотрел что за самозащита: Ключи свои не защищает, удалил:
А также параметр автозапускаКод:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AntiVirScheduler HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AntiVirService HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avgio HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avgntflt HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avipbb HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssmdrvПосле перезагрузки нечего больше неслышно...Код:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avgnt
все имхо
это лишнее1. Самозащита на уровне системы:
1. переписывание хуков;
2. изменение разрешений на доступ к файлам;
3. изменение разрешений на доступ к ключам реестра.
неплохо бы2. Защита собственных файлов:
1. модификация/удаление модулей;
2. удаление антивирусных баз.
тоже3. Защита своих ключей реестра:
1. модификация/удаление значимых ключей реестра (вручную):
* ключи автозапуска;
* ключи сервисов;
* ключи конфигурации.
+ (защит0)4. Защита своих процессов:
1. Предотвращение завершения процессов:
* из TaskManager;
нужные фичи* API с уровня пользователя:
1. стандартно (TerminateProcess);
2. завершить все ветки процесса (TerminateThread);
3. завершить процесс как задачу (EndTask);
4. завершить процесс как работу (EndJob);
5. завершить процесс при помощи дебагера (DebugActiveProcess);
6. модификация указателя инструкций (EIP);
7. сообщение от рабочей станции (WinStationTerminateProcess);
8. "bruteforce" message posting;
- (нет защит0)9. удаление после перезагрузки.
неплохо* посылка сообщений:
1. WM_CLOSE;
2. WM_QUIT;
3. WM_SYSCOMMAND/SC_CLOSE.
недурно* API с уровня ядра:
1. ZwTerminateProcess;
2. ZwTerminateThread.
лишне2. Модификация процесса/кода:
* инжектирование кода (CreateRemoteThread);
* инжектирование DLL;
* изменение атрибутов защиты памяти (VirtualProtectEx);
* запись в процесс (WriteProcessMemory).