антивирус stop panda f-prot avg anti-virus avast antivir una trojan remover антивирус касперского (кав) dr web’а norton antivirus mcafee nodСравнительный анализ антивирусов 2005
Статья с незначительными сокращениями взята с xakep.ru
Написал ???


... Без преувеличения можно констатировать: компьютерные вирусы – чума XXI века. Лучшие умы человечества сейчас трудятся над поиском вакцины! На сегодняшний день число антивирусных программ (далее АВП) перевалило за 2 десяток. Пользователи не спят… ломают головы над тем, какую АВП выбрать?? Взять бесплатную или отдать последние 100$, дабы обезопасить свою информацию?
   Давайте попробуем разобраться какой антивирус действительно толковый и что к чему да почему. Особенно обратим внимание на мелочи, о которых помалкивают разработчики АВП.
   На операционном столе следующие антивирусные программы:
  • Stop
  • Panda
  • F-Prot
  • AVG Anti-Virus
  • Avast
  • AntiVIR
  • UNA
  • Trojan Remover
  • Антивирус Касперского (КАВ)
  • Dr WEB’а
  • Norton AntiVirus
  • McAfee
  • NOD

    •    На момент написания статьи все последние версии программ (при наличии standart, professional версий – естественно использовала версия проф) были скачанной с официальных сайтов разработчиков и обновлены.
       Итак, начнем! Основной упор в тестировании делался на попытку обмануть, одурачить АВП различными способами. Проверялась эвристика и прочее важнейшие компоненты антивируса.
       STOP: Очень расстроил это продукт. Заменяешь один байт в точке входа - файл не обнаруживается. Упаковываешь файл – та же картина: антивирус молчит. То же мне АВП… Ого…дак он еще и платный!!! Ужас…. Я согласен платить деньги за лицензионный софт… но он должен быть соответствующего уровня. Мда…
       PANDA: КАК МОЖНО ПРОВОДИТЬ ДИСКУСИИ ПО ПОВОДУ, ЧТО ЛУЧШЕ ПАНДА ИЛИ ВЕБ, ПАНДА ИЛИ НОРТОН, ПАНДА ИЛИ АВП? ОНА ДАЖЕ НЕ УМЕЕТ РАСПАКОВЫВАТЬ СТАНДАРТНЫЕ УПАКОВЩИКИ! Люди не будьте слепыми. У панды только дизайн хороший.
       F-Prot: аналогичен двум вышеперечисленным, единственное, что радует большущая база (более ста тысяч), но вот что-то я сомневаюсь, что тысяч 30 они туда не дописали вручную. Большой плюс этого продукта – он работает с вирусами для различных ОС (помимо Windows).
       AVG Anti-Virus: никакого эмулятора. В основном смотрит только на точку входа, но иногда решается заглянуть в начало секции кода. Возьмем спуфку (я использовал Afx!AVSpoffer v.1.49[b]by fij) и антивирус в 99% случаев молчал. 1% - находил вирус (смотрел на начало секции кода), но от упаковщика «умер» быстро. Меня заинтересовало вот что: если антивирус не имеет эмулятора и смотрит только в точку старта, значит, скорее всего, там нету и базы упаковщиков. Я просто упаковал червя UPX-ом (по-моему, более распространенного нету) и антивирус сразу замолчал. Как за такое деньги брать, не стыдно! Интерфейс тоже страдает, очень неудобный. Правда, оболочка – вещь индивидуальная… так что тут решайте сами!
       Avast: включил, «натравил» его на Интернет-червя Qaz. Страшная табличка и женский голос «Waring there is a virus on your computer». Поменял один байт в точке старта - АВП продолжает «ругаться». Это приятно. После спуфки v.1.49[b] вирус дальше опознается. Эмулятора нету - это видно сразу. Попробую упаковать.
    Хм… мне кажется упаковщики - самое эффективное средство против ВСЕХ антивирусов, спуфка - это так в помощь. В общем, антивирус умер. Попробуем упаковать оригинал. Как и ожидалось после простой упаковки UPX-ом антивирус утих. Поищем сигнатуру. Сигнатура для червя qaz хранилась по адресу .401f69 и после изменения этого байта антивирус замолчал. Странно, это ведь не начало секции, да и до точки старта далековато. Возникли подозрения, что он проверяет фиксированные адреса на короткие сигнатуры, что я и решил проверить, но к радости разработчиков это не оправдалось - червь Plage был опознан по ресурсам, а вот 3D stars по OEP. В общем, упаковщик у злоумышленника, и куча вирусов у вас на ПК.
       AntiVIR: Так себе продукт. Ну давайте к делу. Qaz был спрятан спуфкой v.149[b] (при том, что уже есть спуфка 1.54). А вот с i.worm.Plage не удалось. Интересно, как он отреагирует на простой упаковщик. Мда…. Лень, наверное, авторам поддерживать кучу упаковщиков. Опять упаковщик сделал свое дело!
       UNA аналогична вышесказанным. Дизайн слабоват. Распаковки упаковщиков – нет, даже самых популярных. Если спуфка не справляется, что бывает крайне редко, то, как всегда, используем упаковщик.
       Trojan Remover: не опознал ни одного из "старых отцов". Из более новых Magistr'a и еще парочку опознал по ресурсам, похоже больше он никуда не смотрит. АВП написана не шибко грамотно, если не ошибаюсь, на Delphi, эмуляторов кода нет. Обновление базы сделано самым неудачным образом, который только можно встретить, база вирусов крохотная (около 8000) и, вообще, утилита для развлечения мне кажется, а еще и денег за нее просят.

    Ну, теперь продукты поинтереснее.
       КАВ: ну, во-первых, уж как только можно расхваливают свой продукт, а глюков там просто полно. Чего только стоят Error wrong pointer 000000 или то, что творилось с сетью в Windows XP, когда был установлен АВП. Да, я знаю, разработчики тут же скажут Wrong поинтеры только у меня появлялись, а с сетью глюк мы пофиксили: все мы люди, все мы ошибаемся. Ну... как говорится, бог им в помощь. Базу пополняют часто - это единственный аргумент, почему у меня стоит этот антивирус. В среднем за день 20-35 записей может и больше. База большая уже около 90000. НО! Реально база намного меньше, ибо они включают в нее всё что не попадя, а именно:
    Эксплоиты, которые не являются вирусами и никогда ими не являлись, а то, что это деструктивные программы... так они деструктивны не для того, у кого они же и лежат. Я думаю, их добавляют для количества записей в базе.
    ВирТузлы: например, те же самые спуферы, которые ТОЖЕ НЕ ЯВЛЯЮТСЯ ВИРУСАМИ ни в коем роде и даже не являются деструктивным ПО, поскольку предназначены только для образовательных целей (по крайней мере, я спуфкой только так и пользуюсь =)). Но таких программ в их базе довольно приличное количество. Я понимаю, если бы разработчики просто включили их в поддержку и продукт «узнавал» бы вирусы, обработанные спуфкой или упаковщиком – вот это дело! Но ведь они выносят эти вещи в отдельную запись. Опять крутят рейтинг…Дальше смешнее :).
    Клиенты бакдор троянов: я этого не понимаю. Да возможно разработчики заботятся о пользователях. Но ведь логично предположить, что если у пользователя на ПК лежит КЛИЕНТ (не сервер, а клиент), то значит пользователь знает что это такое и умеет им пользоваться…. Да и к тому же клиент троя не нанесет пользователю никакого вреда. Что если я напишу троян, которым надо управлять FlashGet’ом... то FlashGet - Win32.Trojan.FlashGet? Бред. Теперь если посчитать, что в базе 90 тысяч 50 из которых трояны удаленного администрирования с клиентами, то 25 тысяч мы оттуда вычтем КАК МИНИМУМ! Ибо не забывайте, что часто в комплект идут утилитки всякие, редакторы, и т.п., которые ТОЖЕ детектятся как ВИРУСЫ! Реальная база вирусов по моим оценкам около 40 тысяч. Остальные 50 - это бред.
    А теперь о работе: когда спуфка v.149[b] обманывала этот антивирус простыми трюками, я понял, что эмулятор там не ахти. То ли им лень стараться, то ли они знают, что всё равно придумают способ и обойдут их эмуляторы. То ли им главное просто заработать денег на рынке. Эмулятор, по правде говоря, минимальный пытается что-то сделать но, как-то очень вяло. Антивирус больше рассчитан на сигнатурный поиск и прекрасно распаковывает практически все известные мне упаковщики, что тоже приятно. Весело и сразу печально то, что некоторые нехитрые комбинации, вроде mov eax,oep push eax retn срабатывают. Конечно, они это исправят очень скоро. А ведь это такой простой трюк... Печально...
       А вот эмулятор Dr WEB’а просто на высоте. Я уважаю Данилова и их команду за такое творение. Распаковка почти всех известных мне упаковщиков, чудесная база (без таких проблем как у КАВ), приличная скорость сканирования. НО! Как всегда есть куча но:

    1. Надоело качать постоянно новую версию. Неужели нельзя сделать так, чтобы старая работала с новыми базами.
    2. Нарыл пару глюков. Несущественных, но раздражает.
    3. Редко выходят апдейты баз. Надо хотя бы раз в два дня.

       В остальном вроде ничего. В паре с КАВ работают хорошо. Не могу не сказать еще раз. Очень хороший эмулятор у веба. Рекогнизит прыжки на регистры, работу со стеком, вызовы фак. Функций - деление, умножение, сдвиги. Но облапошить такой эмулятор оказалось тоже несложно :-). Антивирус хороший, но вот трюк: спуфер + упаковщик + спуфер - не выдерживает. Впрочем, его не выдерживает НИКТО, кроме McAfee. В общем, софтина must have, но, по правде, денег я бы за нее не дал. Слишком много доработок нужно для начала сделать и базу почаще обновлять.
       Нортон: так и не исправился, а жаль. Впрочем, им лучше клепать утилиты по уходу за ПК в стиле Disk\Win doctor (не в обиду будет сказано). Но фаервол и антивирус от Нортона, мягко говоря, не ахти. Сигнатуру к Сиркаму искал в секции кода и не смотрел на стартовый адрес совсем... Что означает, что любой упаковщик морочит ему голову моментально. Это сразу подтвердилось, когда я использовал спуфер, а потом упаковал червя упаковщиком ASPACK. Эмулятора нету. Апдейты тоже не очень частые. Не очень хороший продукт.
       McAfee: действительно что-то стоящее. Большая, довольно грамотная база, быстрая скорость, неплохой дизайн. Сигнатуры для "Platana" имел аж ДВЕ: одну в ресурсах, вторую в ОЕП. С этим антивирусом пока лучше всех.
       NOD: Господи, сколько сейчас тестов выходит, которые кричат нам о том, какой NOD обалденный антивирус. Что КАВ и Dr. WEB - это дети по сравнению с ним. Мда… плакать хочется. Ну да ладно… давайте посмотрим на него так сказать «изнутри». Итак, что-то я вам в общих словах рассказываю …говорю, что так и так АВП не видит вирус, потому что я его подправил в точке входа! Давайте на живом примере проверим хотя бы 1 антивирус! Возьмем самый известный на сегодняшний день mail-trojan - Pinch. Я выбрал именно его, потому что устал уже отвечать на вопросы: «А как спрятать Pinch от АВП?» Бррр… Берем чистый Пинч, прогоняем через NOD, дабы убедиться, что он в порядке и успешно опознается. Прогнали? Хорошо, а теперь давайте обработаем файл ASPack'ом и проверим его работоспособность. Вообще, сразу скажу, что после любых произведенных действий, обязательно проверяйте файл! Теперь его надо загнать в HIEW, сделать это можно выбрав файл в HIEW. Выделяем файл и нажимаем Enter. Зачем вам китайская письменность? Мне лично не нужна…поэтому жмем еще 2 раза Enter и переходим в ассемблерный режим. Теперь нам нужно найти первый байт точки входа 60h - это опкод команды PUSHAD, теперь ее нужно будет затереть любой однобайтной командой. Например, nop/90h, inc eax/40h, inc ebx/43h, ecx/41h, edx/42h, esi/46h, edi/47h и т.д. После этих производственных действий NOD молчит! Для КАВ этого было недостаточно… там я использовал внедрение подложных сигнатур. Вот вам и NOD….

    Подводя итоги выше сказанному, хочу отметить, что как бы не старались спецы 100%-ного средства не будет никогда. Впрочем, они не для этого стараются, все это понимают. И самый надежный антивирус это умная голова и грамотные руки.

    Если же из 2-х (в нашем случае 13) зол выбирать меньшее… то тут надо уточнить, что лучше держать на ПК несколько антивирусных пакетов (желательно отечественного и импортного производства). Тем кто очень любит КАВ придется несладко, т.к. этот антивирус очень не любит конкурентов. Так что вот… Пищу для размышлений я вам дал, примеры привел… Выбор за вами.

    Некоторые отзывы по данной статье (исключены отзывы типа: ...-самый лучший антивирус! или ...-дерьмо!)

  • Hedge: Еще интересно было бы узнать, как справляется со своей задачей win-порт ClamAV. Кто-нибудь смотрел эту штуку?
  • xxx: Статья может быть и хорошая, но в ней явно видно, что автор хотел возвысить Dr. Web над другими антивирусами, Dr. Web в школе вис кода работал, при передаче файлов через сеть .. NOD все отлично сканирует распознает большиснтво вирусов, БД обнавляется КАЖДЫЙ день, да и в день по 2-3 раза .. =)) вообсчем что ни говорили бы .. а NOD выше на голову Dr. Web .. =))
  • Olegan: ...сходите поссылке http://members.lycos.co.uk/viruscrackrz/ скачайте оттуда архив 583virus.zip, там 583 вируса. Просканируйте всеми предложенными антивирями и посмотрите, кто сколько выявит, тот и будет лучший(по крайней мере практически).ТОЛЬКО НЕРАСПАКОВЫВАЙТЕ АРХИВ, сканируйте запокованный.Потом сравним......
  • speller: 2Olegan: LOL :))) В 583virus.zip _один_ вирус DOS.Vienna.583.a!
  • ТНТ: 583viris.zip это не 583 вируса, а один, название или 583 и Vienna Если скачать все 104 зип файла, то McAfee обнаруживает в них 486 вирусов
  • 4mo: А я просто поставил OpenBSD :-)
  • Olegan: Norton Antivirus Corporate Edition не может справиться с вирусами которые сами себя генерируют во время удаления.У меня была такая проблема. справился только Каспер(это не реклама)
  • springtime: Какой ты нахрен тестер, если утверждаешь, что Panda не умеет справляться со стандартными упаковщиками. А твой доктор Смерть. Эта хрень отваливается после простейших эксплоитов. Да и чета он еще международного признания не получил. Страновато?
  • Slayer: Народ !!! Ставь Bitdefender 8 rus прога выше всего вышеназванного де$ма И систему не грузит и защита круче http://www.bitdefender.ru/downloads/bitdefender_prof_v8_ru.exe
  • MikeN: Давно пользуюсь BitDefender Prof. На сегодня в базе 135 тыс. вирусов. И знает много паковщиков, кстати.
  • REBEL: Лучший антивирус - это голова и руки, и нефик по порносайтам лазить )
  • KPOXA EHOT: Нет, дамы и господа, у меня например МакАфии с 1996-го года.. ни одного гада с локальных машин/серверов не вылавливал ни разу... вообще для прикола защищаю сеть таким образом: на шлюзе Керио Винроут Файерволл с вшитым МакАфии; на серверах БитДефендер (серверный); в локалке тоже БитДефендер (но уже "клиент") плюс между шлюзом и прокси стоит ВирусВолл+ПестПатруль... вот ей-богу не видал еще ни одного вируса в живую... тока по отчетом об отбитых атаках... чего и вам искренне желаю... :о)
  • demeo: Интересно, а почему внимания автора не удостоились продукты от TrendMicro или Computer Associates - явно не самых отсталых контор в этой области?
  • treehel: Mcaffe, а практике, отвратительный антивирус. В вузе на каждой машине стоит - V троянов, вирей и бэкдуров поражает. Если вирус уже работает mcafee бессилен. Я за DrWEB и Kasper
  • [ds]: А мне нравится DrWeb хотя бы за свою непрожорливость ресурсов, в конце концов антивири созданы для того чтобы помочь и ускорить работу за счёт того что не придётся каждый день восстанавливаться из бакапа и тд и тп, а просто работать, но когда антивирь не даёт машине нормально функционировать, то нафиг он такой нужен? От банеров с порнушкой вреда и то меньше. Не знаю что там за эксплойты, но врятли они помогут если большая часть вирей отсеивается, скажем приоткрывании SMB-шной папки с оными. По жизни довольно активно перекидываю софт по smb-шной сетке, но повисаний не наблюдал, не впример машине друга, у которого стоит Norton, - при качании чего-нить тяжоленького компа подгружается настолько, что вообщем-то нехилая машина просто не успевает обрабатывать поток с 100 мбитной сетевушки :( это конечно немало, но это же обычная персональная компа, - не заводить же ещё одну - для антивиря?? Вообщем-то единственное что мне не понравилось в DrWeb-e - это то что он иногда гонит на стопудово "чистую" прогу, по подозрению на вирус, хотя он по-своему прав - если не знать что эта софтина на самом деле файервалл, - можно подумать что и вправду троян какой-то :)
  • sl0n: Исследование выглядит правдоподобно, но его смысла не вижу ... Если с целью обхода антивирусов то должны быть описаны их особенности а не особенности упаковщиков и "спуфак" . Если с целью выбора антивируса зачем рассказывать про всякие упаковщики и спуфки? Насчёт др.Вэба согласен эмуль у него лучший но есть фолс алармы
  • Deface: McAfee уже долго (5 лет) пользую. Хороший однако... Правда есть и минусы. Советую изпользовать только enterprise (7 или 8) home и pro отстой. А насчет того что если вирус в компе то McAfee бессилен - тоже правда, тогда средство только одно: качай вручную последний апдейт и в safe mode лечи. О McAfee можно ещё много рассказивать но не буду. Хороший маленький (enterprise 7 install ~ 7 МБ) лёгкий в настройке
  • Ludmil: ... антивирусы поставили на Мiсrоsоft Windоws ХР Рrоfеssiоnаl в локальной сети, по которой постоянно распространялись вирусы. Все вирусы что попадались антивирусу Данилова оказались уничтоженными. А машину с антивирусом Касперского вирусы попростоу обходили стороной, ведь при 100% загрузке CPU сетевой адаптер не успевает общаться с сетью.
  • gackt: А вот я антивирями принципиально не пользуюсь... антивирус – это программа, создающая иллюзию защищенности, которую ламер и среднестатистический юзер воспринимает как реальность.
  • checker: 1)че - то многовато противоречийя тут услышал - каждый хвалит тот антивирь, который стоит у него .и особенно смешны высказывания типа " У меня нет антивиря но я и не парюсь потому, что у меня нет вирей" - да откуда ты знаеш??? я тоже думал, что он мне не нужен но после первого скана мой антивирь выдал аш 15 вирей на компе!!!!я был вах*е!конечно может тут есть и ложные но по-любому антивирь - полезная вещ! 2)туд была интересная идея - фаэрволл давно уж вытащили на аппаратный уровень - а антивирь чё левый? -)
  • Роман Чириков: А почему не было сказано о размере загружаемых обновлений баз? После кряка лицензионного Нортона 2002 (продления подписки) он стал каждый раз качать по 280 КБ - и это только список обновлений! И ещё килобайт 300 самих обновлений. А вручную не скачаешь файлики, в отличие от КАВ. То есть переустановишь 2002 версию - и качай заново 5 МБ... Касперский качает гораздо меньше (в день по 30 КБ). Случай был. Жил у меня вирус - в supu.exe. Нортон видел, но ныл, что удалить не может. Поставил Касперского - тут же нашёл и обезвредил! Но так тормозит этот КАВ 5 на ХР!
  • login: ех, люди...поставте пару анвирей которые пошустрее (др.веб,макКофе иль еще чего) и один-два тех шо ресурсов жрут много (авп иль нортон), для реалтайма двух быстрых фватит, а каздую неделю полную проверку теми шо едят много а лучший антивирус существует давно. Это вилка, выдернутая из розетки
  • blackhumor: http://www.virusbtn.com у самого стоит bit defender... mcafee и web тож не плохи... и ребята, если вы не пишите вирусы то нефиг говорить "у меня стоит N и никаких проблем" в том то и дело, что если нет проблем, то стоит задуматься, а так ли всё безоблачно на самом деле...
  • Dedushka: Думаю этот рейтинг тоже хорош http://www.anti-virus-software-review.toptenreviews.com/
  • YO!: Нортон тоже не полхой!!!Но что правда, то правда, они много делают всяких там доктором, а антивирус не изменяется почти!!!
  • Faust: Давно пользую связку McAfee Enterprise 8 и Dr.Web в резиденте сидит мак а так для проверки иногда помимо мака пользую и вэб, на пару ловят всё... и то что McAfee действительно пока самый оптимальный выбор это точно - уже который год в этом убеждён А вот по поводу эвристики есть ещё Белорусский продукт VBA32 - советую его тоже протестить
  • ILYSHKINSOFT: Вы на медведя (Panda)булку не крошите! Централизованная защита сети "по периметру" - Panda Admin Secure! Никаких проблем! Легкое администрирование windows серверов и раб. станций, Linux, Novell и др с одной консоли!
  • TIMA77: При попытке скачать указанный архив с вирусами Панда 7.07.02 написала Вирус нейтрализован, указала локацию, вирус имя указала-Univ. Думайте дальше, как Ваши Антивирусы дают Вам скачивать ЗипАрхивы. Правда в скачанном ЗипАрхиве ничего не обнаружила
  • 3K: автору - респект за труд. Парни не наезжайте друг на друга. Расклад таков: нортон + его же фраервол(2005) + 2гб кипежиксового KINGSTON-DDR500 + разгон выше 3,8ггц - тогда о тормозах забудете + бецкап вовремя == ... тогда это оверклоцкерство. КАВ не понравился. Доктор шустрый такой. NOD имеет неприязненные отношения с Nero v.66xx. Maккофе ругали в прессе вместе с его фраерволом причём в словах не сдерживались - завидовали наверное. К вышесказанному замостырить бы ещё правильный антишпиён.Кое-что ранее перечислялось предыдущими уважаемыми авторами.
  • VMChaZ: Насчёт эмулей - по-моему, их корректно делать не научились. Даже хвалёный DrWeb (хотя я и сам уважаю его больше других антизверусов). На определении частоты процессора двумя командами rdtsc через промежуток времени он выдаёт её равной 0!!! И ещё сопроцессорные команды не совсем корректно ест...
  • Bigus: я вас прекрасно понимаю, но вот одно, как раз то, что меня обидело... Вы не взяли во мнимание, такую вещь как BitDefender v8 pro plus весит всего такая софтина 13 метров, база на 150к вирусов... Полтора года винду не менял, по сети и в Интернете волна за волной, а проблем нет никаких с вирусней, справляется со всем просто замечательно... Встроены Antispam, FireWALL и cам антивирус...
  • 3k@taiga.ru: ... кстати с этим Нортоном отлично сожительствует Сигать файрволл. НортонАнтивирФ-волл этот из СистемВоркс=2005, без всех остальных утилит, массой в 71 мб + 9 мб УПдатов. Ведёт себя скромно и тихо никому не мешает. Проверил на www.pcflank.com, scan.sygatetech.com какими-то продвинутыми сканерами - в ответ тишина: всё Stealth и Clothed - в смысле портов.Сайгет подлец их адреса заблокировал пришлось опыты завершить.
  • vajrock: Не Знаю как вам КАВ, но если чесно то он начинает глючить при добавлении баз данных с дисков "Хакер" - меня это просто бесит...
  • Alder: Пользовался раньше Антивирусом Касперского. Думал он самый лучший. Поводов для расстройств, в принципе, не было. Самое заметное: Тормозной он уж очень, особенно с архивами. Приходилось вырубать его при первой же ненадобности. Потом установил NOD32. Жрет ресурсов меньше, работает гораздо быстрей. Сидишь за компом, забываешь, что он запущен. Не пользовался McAfee, поэтому про него ничего сказать не могу. Судя по всему, если и есть ЛУЧШИЙ антивирус - это либо NOD32 либо McAfee. Факт.
    антивирус stop panda f-prot avg anti-virus avast antivir una trojan remover антивирус касперского (кав) dr web’а norton antivirus mcafee nod
    АНТИВИРУС STOP PANDA F-PROT AVG ANTI-VIRUS AVAST ANTIVIR UNA TROJAN REMOVER АНТИВИРУС КАСПЕРСКОГО (КАВ) DR WEB’А NORTON ANTIVIRUS MCAFEE NOD
    Сайт управляется системой uCoz