Что лучше аваст или комодо
Тест бесплатных проактивок: Проверяем free-версии Avast, Avira, AVG, Comodo, ClamAV
Содержание статьи
В прошлой статье под пресс нашего редакционного катка попали лидеры мирового антивирусного фронта. В этом же выпуске мы обратим свои взоры на самые что ни на есть халявные (а потому популярные) антивирусные продукты.
Этим отличия от прошлого теста не ограничатся — мы будем тестировать не эвристику, а проактивную защиту. А что же такое проактивная защита? Разные компании используют различные названия: реальная защита, защита в реальном времени и так далее, но суть одна: проверка файла на вредоносность осуществляется в процессе его работы. Это и отличает данную технологию от эвристики, задача которой состоит в том, чтобы определить статус файла еще до его запуска. Если эвристические сигнатуры обычно проверяют наличие подозрительных особенностей исполняемого образа, эмулируют машинный код или вызовы системных функций, то вся проактивка, как правило, следит за активностью файла в системе. В основном это достигается с помощью перехватов некоторых системных функций, отвечающих за работу с файлами, реестром, процессами и сетью.
В качестве испытуемых были выбраны пять антивирусов. В этом краштесте я буду пытаться обойти AV-продукты от Avast, Avira, AVG, Comodo, ClamAV. А теперь — немного конкретики о версии каждой программы и ее настройках.
Avira AntiVir Personal
Первый в списке тестируемых антивирусов: Avira AntiVir Personal — Free Antivirus. Версия 9.0.0.13. В этом продукте присутствует один модуль, который, похоже, выполняет роль проактивной защиты — AntiVir Guard. Его я, естественно, включил. Опции довольно скудные, помимо настройки «агрессивности» анализа я больше ничего из того, что могло бы повлиять на качество защиты в реальном времени, не обнаружил.
avast! FREE Antivirus
Следующий подопытный — avast! FREE Antivirus, версия 110319-1. У аваста, в отличие от авиры, есть целая секция «Экраны в реальном времени». Я убедился, что все модули (а особенно «Экран поведения» — видимо, у аваста проактивная защита именуется именно так), входящие в эту секцию, включены.
AVG Anti-Virus Free Edition
Последний антивирус в нашем тесте, который начинается на букву «a» — AVG. Я тестировал AVG Anti-Virus Free Edition, версия 10.0.1204. Этот антивирус не отличается большим количеством настроек. Насколько я понял, проактивная защита представлена в компонентах Resident Shield, Anti-Rootkit, Anti-Virus и Identity Protection.
ClamAV
Продукт Immunitet 3.0 от ClamAV довольно прост в использовании. Большинство настроек представлено radiobutton’ами — «да» или «нет». Защиту в реальном времени здесь обеспечивает компонент Monitor Program Start. Я дополнительно включил детектирующий движок ClamAV, который был по умолчанию отключен. Отмечу, что при установке я выбрал версию Free (Cloud + AV), а не Trial, которая значительно превосходит бесплатный аналог по функциональности.
Тестировался продукт версии 3.0.0.18.
Comodo Antivirus Free
Последний исследуемый антивирусный продукт — Comodo Antivirus Free, версии 5.3.181415.1237. В Comodo, в отличие от предыдущих антивирусов, присутствуют очень богатые настройки — интерфейс предлагает нашему вниманию огромное количество галочек и ползунков. Проактивная защита обеспечивается компонентой Defense+, которая также гибко настраивается. Я выбрал максимальный уровень защиты, установив Paranoid Mode, который, правда, практически не отличается от Safe Mode.
Сама методика тестирования очень простая: каждый тестовый файл запускается, а затем я фиксирую (или не фиксирую) предупреждение от антивируса.
А теперь к самому интересному — тестовые файлы.
Тест первый: прописываемся в автозапуск
Простейший вариант — просто чтобы проверить, работает ли проактивная защита вообще. Итак, первый тестовый образец всего лишь прописывает сам себя в «святая святых» Windows — автозапуск по ключу реестра hklmsoftwarewindowscurrentversionrun. Часть исходного кода:
wchar_t szFullPath[MAX_PATH] = <0>;
GetModuleFileNameW(0, szFullPath, MAX_PATH);
HKEY hKey = 0;
RegOpenKeyW(HKEY_LOCAL_MACHINE, L»Software\Microsoft\ Windows\CurrentVersion un», &hKey);
UINT ExitCode = RegSetKeyValueW(hKey, 0, L»MalwareAutorun», REG_SZ, szFullPath, lstrlenW(szFullPath) + 1);
Алгоритм работы этой программы очевиден — получение полного пути самого себя и последующая запись в автозагрузку в реестре. Это один из самых популярных у зловредов вариантов добавления программы в автозапуск. И каковы результаты? Довольно странно, но самый примитивный способ закрепления зловреда в системе был обнаружен только двумя антивирусами: Avast и Comodo обнаружили угрозу, остальные же не помешали записи в авторан.
Тест второй: получаем права отладчика
Следующий образец я создал, чтобы проверить, как исследуемые антивирусы работают с Token’ами (цифровыми ключами доступа). С этой целью я накидал простую программу, которая выставляет себе права отладчика. Фрагмент исходника:
HANDLE hToken = 0;
UINT nReturnCode = 0;
LUID UID = <0>;
TOKEN_PRIVILEGES TokenPrivileges = <0>;
nReturnCode = OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &hToken);
nReturnCode = LookupPrivilegeValueW(0, SE_DEBUG_NAME, &UID);
TokenPrivileges.PrivilegeCount = 1;
TokenPrivileges.Privileges[0].Luid = UID;
TokenPrivileges.Privileges[0].Attributes = 0;
nReturnCode = AdjustTokenPrivileges(hToken, false, &TokenPrivileges, 0, 0, 0);
Код довольно примитивен — получаем токен текущего процесса, а затем ему назначаются привилегии отладчика с помощью функции AdjustTokenPrivileges. И что же? Снова Comodo и Avast справились с этой «угрозой», остальные спокойно промолчали. Ситуация весьма удручающая.
Тест третий: инжект в память чужого процесса
Сделаем пример посложнее, а именно — программку, выполняющую инжект в память другого процесса. Под «инжектом» я подразумеваю выделение памяти в чужом процессе, запись туда своего кода и дальнейший старт удаленного потока. Этот метод можно назвать классическим среди современных вирусов, так как он позволяет выполнять вредоносные действия «под» доверенным процессом. Фрагмент кода программы-образца:
Здесь с помощью функций Process32First/Process32Next я ищу необходимый мне процесс iexplore.exe. Далее, когда он найден, я получаю ID процесса, хэндл процесса и выделяю в адресном пространстве последнего регион памяти с помощью VirtualAllocEx. После этого я записываю в выделенную память код моего потока ThreadFunc:
static DWORD ThreadFunc(LPVOID lpThreadParameter)
<
return 0;
>
Завершающий этап — запуск удаленного потока — выполняется с помощью функции CreateRemoteThread. И как справились с этим антивирусы? Да абсолютно аналогично: Avast и Comodo обнаружили «угрозу», а остальные — нет. Хотя антивирус AVG и выдал предупреждение о неизвестной угрозе, но сделал он это только после того, как удаленный поток стартовал. Кроме того, Anti-Virus Free Edition выдавал предупреждения через раз, поэтому я поставил ему +/- за этот файл.
Тест четвертый: глобальные хуки
Дальше я решил проверить, как антивирусы обнаруживают установку глобальных хуков. Глобальный хук — процедура, через которую система пропускает определенный тип событий, например, данные, поступающие от клавиатуры. Установка глобального хука — весьма популярная у зловредов техника, используется она для перехвата данных, вводимых пользователем, поэтому весьма любопытно проверить, смогут ли испытуемые антивирусы помочь обычным юзерам.
Фрагмент кода основного файла:
HMODULE hDll = LoadLibraryW(L»DLL.dll»);
PVOID pHookProc = (PVOID)GetProcAddress(hDll, «HookProc»);
HHOOK hHook = SetWindowsHookExW(WH_KEYBOARD, (HOOKPROC)pHookProc, hDll, 0);
Фрагмент кода DLL:
EXTERN_C __declspec(dllexport) DWORD HookProc( int code, WPARAM wParam, LPARAM lParam)
<
return CallNextHookEx(0, code, wParam, lParam);
>
Чтобы перехватывающая функция обрабатывала все события в системе, она должна быть помещена в DLL в виде экспортируемой функции. Поэтому вначале я получаю базовый адрес вспомогательной библиотеки с помощью LoadLibrary, а затем адрес экспортируемой функции HookProc из последней библиотеки. Далее API’шка SetWindowsHookEx устанавливает хук на клавиатуру. Код экспортируемой функции в DLL вполне тривиален. Как на это отреагировали испытываемые антивирусы? Внедрение библиотеки обнаружил только Comodo. Даже Avast, который успешно отбивал «атаки» трех предыдущих поделок, сдал. О других антивирусах я вообще молчу — они также ничего не выдали.
Тест пятый: модификация hosts
Ну и напоследок я решил проверить, как же антивирусы реагируют на модификацию системного файла hosts, который отвечает за привязку определенных доменных имен к IP-адресам. Фрагмент кода, ответственного за правку hosts:
HANDLE hFile = CreateFileW(L»C:\windows\system32\drivers\etc\hosts», GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, 0, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0);
HANDLE hMapping = CreateFileMappingW(hFile, 0, PAGE_READWRITE, 0, 0, 0);
PVOID pHosts = MapViewOfFile(hMapping, FILE_MAP_ALL_ACCESS, 0, 0, 0);
memcpy(pHosts, MalwareHost, lstrlenA(MalwareHost));
memcpy((char*)pHosts + lstrlenA(MalwareHost), EndingBytes, sizeof(EndingBytes));
Код не должен вызывать вопросов — все просто и очевидно. Я решил использовать не связку ReadFile/WriteFile, а маппирование файлов с помощью MapViewOfFile, исключительно для удобства. С этим заданием справились опять же только продукты от Avast и Comodo, что, в общем-то, было уже ожидаемо.
Avira, Microsoft, Kaspersky и Avast показали лучшие результаты в тестировании антивирусов SE Labs 2021
Лаборатория SE Labs в июле-сентябре 2021 года протестировала популярные антивирусы для оценки эффективности защиты от распространенных веб-угроз и целевых атак в режиме реальных условий использования на платформе Windows 10 64-bit.
Каждый антивирус (комплексные и бесплатные решения) проверялся с идентичным набором угроз (общее количество – 100), которые представляли собой сочетание таргетированных (целевых) атак на базе известных эксплойтов и веб-угрозы, распространенные в Интернете на момент проведения тестов.
Результаты показывают, как эффективно антивирусы противостояли данным угрозам в режиме реального времени.
Подробнее ознакомиться с методикой динамического тестирования, проводимого лабораторией SE Labs (Simon Edwards Labs), вы можете на этой странице. В данном отчете мы приводим общие результаты испытаний, выполненных во 2-ем квартале 2021 года.
Общая информация
Тестируемые антивирусы
Важное правило безопасности – пользоваться актуальной версией антивируса. При подготовке к тестированию, специалисты SE Labs проверили, чтобы в испытании принимали участие самые последние версии антивирусных программ на момент тестирования. Это позволяет сделать результаты оценки максимально точными.
Используемые версии антивирусов:
Результаты тестирования
Антивирусы были эффективны при обработке распространенных угроз
Большинство антивирусов смогли обработать общие веб-угрозы, используемые злоумышленниками для атак на компьютеры под управлением Windows. Например, атаки, которые обманом заставляют пользователей запускать вредоносные программы файлы или скрипты, загружающие и запускающие вредоносные файлы. Все тестируемые антивирусы, кроме одного, были полностью эффективны в защите от распространенных угроз.
Таргетированные атаки вызвали проблемы у всех антивирусов
Microsoft Defender был наиболее эффективен в блокировке целевых атак на базе эксплойтов. Большинство других антивирусов испытывали трудности и пропустили от 4 до 8 целевых атак.
Ложные срабатывания не были серьезной проблемой для большинства антивирусов
Большинство антивирусов корректно справились с обработкой легитимных / безопасных приложений и веб-сайтов.
Какие продукты были самыми эффективными?
Бесплатные антивирусы Avira, Microsoft и Avast и комплексное решения Kaspersky Internet Security, показали отличные результаты, используя комплексный подход к блокировке вредоносных ссылок и обработке эксплойтов, и корректно обработав надежные программы и веб-ресурсы. Показатели Webroot также были очень высокими.
Подробная информация о защите
Результаты, показанные на графике, подробно разделяют события обработки угроз. Вы можете наглядно видеть, сколько угроз было обнаружено и какой уровень защиты был обеспечен.
Ложные срабатывания
Рейтинг ложных срабатываний (Legitimate Software Ratings) показывает насколько точно продукты классифицируют легитимные приложение и сайты, принимая во внимание аспект взаимодействия с пользователем. В идеальном случае продукт либо не классифицирует надежное приложение, либо классифицирует его как безопасное, при этом не потревожив пользователя.
Во внимание также принимается распространенность (популярность) приложений и сайтов, используемых в данной части испытания, предусматривая серьезные наказания за неправильную обработку популярных приложений и веб-ресурсов.
Итоги тестирования
В данном тестировании для проведения атак использовались угрозы, которые нацелены как на отдельных пользователей, так и на организации. В испытаниях использовались распространенные (“общедоступные”) вредоносные программы, которые используются в полномасштабных хакерских атаках. Для распространения зловредов использовались стандартные способы – угрозы загружались с реальных вредоносных сайтов или доставлялись на устройства посредством электронной почты.
Все участники тестирования являются известными на рынке продуктами. Предполагалось, что они должны показать хорошие результаты в тесте. При создании тестовых угроз эксперты лаборатории SE Labs использовали общедоступные бесплатные хакерские инструменты, но не разрабатывали уникальные вредоносные образцы. Таким образом, технические причины для слабой эффективности продуктов какого-либо вендора отсутствуют. Следовательно, нет ничего удивительно в том, что антивирусные решения очень эффективно обрабатывают распространенные угрозы.
Результаты в целом были высокими, и только один антивирус, Microsoft Defender, не справился со 100 процентов общедоступных угроз. С таргетированными атаками тестируемые антивирусы справились хуже. Ни один из них не был эффективен на 100%. В то время как бесплатные антивирусы Avast, Avira и Microsoft остановили все атаки, кроме одной, другие программы безопасности пропустили от 4 до 8 атак.
Продукты справились с большинством безопасных объектов правильно, и только один антивирус допустил единственную ошибку – Norton LifeLock Security допустил одно ложное срабатывание.
Награды в тестировании: Лучшие антивирусы для Windows 10
Лучшие антивирусы по итогам тестирования, которые получили награду AAA:
Примечание. Компания Sophos отмечает: «несмотря на то, что наш антивирус получил рейтинг ААА, мы тщательно проанализировали сочетание факторов, которые привели к нашей общей оценке, и уже предприняли немедленные шаги по обновлению обнаружения соответствующим образом. Мы серьезно относимся к стороннему тестированию и приветствуем открытый подход SE Labs к улучшению безопасности и защиты от злоумышленников».
Kaspersky, Avast и AVG – лучшие антивирусы для Windows. AV-Comparatives, Ноябрь 2021
В сентябре 2021 года на сайте Comss.ru мы опубликовали результаты динамического тестирования антивирусов за июль – август, проводимого на платформе Microsoft Windows 10 64-bit. В ноябре независимой лабораторией AV-Comparatives были подведены общие итоги сравнительных испытаний антивирусных решений за вторую половину 2021 года (июль-октябрь).
Тестируемые антивирусы
Настройки антивирусов
Все антивирусные решения в динамическом тестировании AV-Comparatives используются с настройками по умолчанию. Динамическое тестирование направлено на моделирование реальных условий использования антивирусов, с которыми сталкиваются пользователи каждый день.
Если требуется решение пользователя, всегда выбирается «Разрешить» или эквивалент. Если продукт при этом все равно защищает систему, засчитывается блокировка угрозы, хотя было позволено запуститься вредоносной программе во время предложения принять решение. Если система была заражена, это учитывается как «требует решения пользователя».
Под понятием «защита» понимается, что система не заражена. Это означает, что вредоносная программа не запущена (или удалена/остановлена) и нет значительных/вредоносных изменений в системе. Оповещения фаервола об исходящих соединениях активного вредоносного ПО, которые спрашивают, следует ли блокировать трафик от компьютера в Интернет, происходят редко, слишком поздно и не рассматриваются в качестве защиты.
Общий уровень защиты
За период июль-октябрь 2021 года было проверено 743 тестовых образца – угроз «нулевого дня».
Обозначения в таблице
Ложные срабатывания
Тест на ложные срабатывания в динамическом тестировании (Real World Protection Test) состоит из двух частей: проверка ошибочной блокировки сайтов (во время просмотра веб-страниц) и проверка ошибочной блокировки файлов (при загрузке/установке). Ложные срабатывания необходимо проверять по обоим сценариям, поскольку тестирование только одного из двух указанных случаев может снизить результаты антивирусных решений, которые сосредоточены в основном на одном методе защиты: либо фильтрации URL-адресов, либо файловой защите по доступу / поведению / на основе репутации.
Обозначения в таблице
[1] Несмотря на то, что зависящие от решения случаи крайне раздражают пользователя (особенно для чистых файлов), при подсчете они учитывались только как половина для уровня защиты и ложных срабатываний.
Общие результаты. Февраль-Май 2021
Результаты всех тестируемых решений с уровнем обнаружения и количеством ложных срабатываний представлены на графике ниже:
Обозначения на графике
Результаты (таблица)
| Вендоры | Блок % | Решение % | Пропуск % | Ложные |
|---|---|---|---|---|
| Avast | 99.9 | 0 | 0.1 | 2 |
| AVG | 99.9 | 0 | 0.1 | 2 |
| Avira | 99.2 | 0 | 0.8 | 1 |
| Bitdefender | 99.7 | 0 | 0.3 | 0 |
| ESET | 98.9 | 0 | 1.1 | 0 |
| G DATA | 99.1 | 0 | 0.9 | 6 |
| K7 | 99.7 | 0 | 0.3 | 5 |
| Kaspersky | 99.9 | 0 | 0.1 | 0 |
| Malwarebytes | 99.6 | 0 | 0.4 | 12 |
| McAfee | 99.8 | 0.2 | 0 | 0 |
| Microsoft | 99.7 | 0 | 0.3 | 0 |
| NortonLifeLock | 100 | 0 | 0 | 37 |
| Panda | 100 | 0 | 0 | 25 |
| Total AV | 98.7 | 0 | 1.3 | 1 |
| Total Defense | 99.6 | 0 | 0.4 | 0 |
| Trend Micro | 100 | 0 | 0 | 17 |
| VIPRE | 99.7 | 0 | 0.3 | 0 |
Лучшие антивирусы 2021
Уровень наград в тестировании
По итогам динамического тестирования AV-Comparatives за вторую половину 2021 года определились лучшие антивирусы с максимальным уровнем обнаружения и минимальным уровнем ложных срабатываний, которые получили награду Advanced+ (3 звезды).
Какой антивирус(ы) подойдет к COMODO Firewall?
Recommended Posts
Объявления
Сообщения
hello, everyone,This is my first time come here
http://h-und-s-dachbau.com/index.php?title=Frisky_Bunny_Vibrating_Cock_Ring_In_Black_Pearl
https://superuser.com/users/1405078
https://manchesterclopedia.win/wiki/H1Goyard_St_Louis_Replica_Is_Your_Best_Option_As_Christmas_Giftnewsgoyard_Low_Cost_Baggage_Uk_Onlineaaaaa_Cheap_Goyard_St_Louis_Totegoyard_Mens_Wallets_On_Saleh1
https://tarifkchr.net/user/sprucehumor81/
http://120.116.38.11/dis/home.php?mod=space&uid=5952260
Hello, I am glad to this forum Hello, I am glad to this forum Hello, I am glad to this forum Hello, I am glad to this forum Hello, I am glad to this forum 899f67a
Невозможно добавить файлы каталога в Zoo ( при работе с образом ) если файл отсутствует. Пример: Полное имя C:\WINDOWS\REGPOLICY\ATICONTO.EXE
Имя файла ATICONTO.EXE
Тек. статус в автозапуске
Сохраненная информация на момент создания образа
Статус в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась
Хороший ли антивирус Comodo?
Краткие и шутливые характеристики большинства существующих антивирусов. Смешно и полезно знать.
Пехотный батальон. Становится лагерем вокруг компьютера, роет окопы и противотанковые рвы, минирует все к чертовой матери, обматывает колючей проволокой в сорок рядов, распределяет сектора обстрела орудий и пулеметов. Получившуюся оборону можно прорвать лишь при пятикратном (как минимум) численном превосходстве и только после многочасовых бомбардировок.
Недостатки: Солдат надо кормить, а минные поля и окопы затрудняют перемещение гражданских, так что от ресурсов системы не остается почти ничего.
Преимущества: Фольксштурмовцы обходятся подножным кормом, так что ресурсы системы практически не страдают.
Недостатки: Беспорядочная пальба по своим и по гражданским, высокая вероятность сдать позиции за считанные минуты при появлении реального противника.
Недостатки: Низкая оперативность.
Преимущества: Практически не заметен.
Недостатки: Полезный эффект тоже не заметен.
Недостатки: Иногда приходится ждать очень долго. У местных красоток уже рождаются первые детки, похожие на солдат неприятеля, а эскадрон все еще партизанит по лесам и пускает под откос вражеские поезда с женскими подвязками.
Танковая бригада. Рычат моторы, пахнет смазкой, чумазые танкисты хватают пробегающих мимо девушек за округлые места, и где-то за лесом идет пальба. Выглядит внушительно и весомо, в бою работает быстро, эффективно и безжалостно. Враг внутрь проникнуть не может хотя бы просто от страха
нет не очень у него много ложных срабатываний
из бесплатных лутьше эти