anti-malware.ru - Тест самозащиты антивирусов (сентябрь 2010)

International Comodo Forums По-русск
#1

В тестировании принимали участие 20 наиболее популярных антивирусных программ класса Internet Security актуальных версий на дату начала тестирования, среди которых:

  1. Avast Internet Security 5.0.462
  2. AVG Internet Security 9.0 (build 117)
  3. Avira AntiVir Premium Security Suite 10.0.0.542
  4. BitDefender Internet Security 2010 (Build: 14.0.23.312)
    5. Comodo Internet Security 4.1.19277.920
  5. Dr.Web Security Space 6.0 (12.0.0.58851)
  6. Eset Smart Security 4.2.40.10
  7. F-Secure Internet Security 2010 (1.30.15265.0)
  8. G DATA Internet Security 2011 (21.0.2.1)
  9. Kaspersky Internet Security 2011 (11.0.1.400)
  10. McAfee Internet Security 2010
  11. Microsoft Security Essentials 1.0.1963.0
  12. Norton Internet Security 2010 (17.7.0.12)
  13. Online Solutions Security Suite 1.5
  14. Outpost Security Suite Pro 2010 (7.0)(3377.514.1238.401)
  15. Panda Internet Security 2011(16.00.00)
  16. PC Tools Internet Security 2010 (7.0.0.545)
  17. Trend Micro Internet Security 2010 (17.50.0.1366)
  18. VBA32 Personal 3.12.12.6
  19. ZoneAlarm Security Suite 2010 (9.3.14.0)

Тест проводился на специально подготовленном стенде под управлением VMware Workstation 7.1.0 (build-261024). Для каждого антивирусного продукта клонировались “чистые” виртуальные машины под операционными системами Microsoft Windows XP SP3 (x86) и Windows 7 (x86).

При установке антивирусов использовались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.). Все компоненты защиты активировались, если это не было предусмотрено после установки автоматически.

Тестирование самозащиты антивирусов проводилось по следующим параметрам:

  1. Самозащита на уровне системы:
    1. изменение разрешений на доступ к файлам;
    2. изменение разрешений на доступ к ключам реестра.
  2. Защита собственных файлов:
    1. модификация/удаление модулей;
    2. удаление антивирусных баз.
  3. Защита своих ключей реестра:
    1. модификация/удаление значимых ключей реестра (вручную):
      * ключи автозапуска;
      * ключи сервисов;
      * ключи конфигурации.
  4. Защита своих процессов:
    1. Предотвращение завершения процессов:
      * из TaskManager;
      * API с уровня пользователя:
      1. стандартно (TerminateProcess);
      2. завершить все ветки процесса (TerminateThread);
      3. завершить процесс как задачу (EndTask);
      4. завершить процесс как работу (EndJob);
      5. завершить процесс при помощи дебагера (DebugActiveProcess);
      6. модификация указателя инструкций (EIP);
      7. сообщение от рабочей станции (WinStationTerminateProcess);
      8. “bruteforce” message posting;
      9. удаление после перезагрузки.
      * посылка сообщений (SendMessage API):
      1. WM_CLOSE;
      2. WM_QUIT;
      3. WM_SYSCOMMAND/SC_CLOSE;
      4. Комбинация пунктов 1-3;
      5. PostMessage;
      6. SendMessageCallback;
      7. SendNotifyMessage;
      8. PostThreadMessage.
      * API с уровня ядра:
      1. ZwTerminateProcess;
      2. ZwTerminateThread.
    2. Модификация процесса/кода:
      * инжектирование кода (CreateRemoteThread);
      * инжектирование DLL;
      * изменение атрибутов защиты памяти (VirtualProtectEx);
      * запись в процесс (WriteProcessMemory).
    3. Выгрузка драйверов

Проверка самозащиты производилась при помощи специально подготовленных утилит, имитирующих атаки или вручную, с правами локального администратора. После каждой атаки обязательно проводилась проверка работоспособности антивируса (его отдельных модулей, активных процессов, сервисов, драйверов, а так же проводилась проверка детектирования вредоносных программ при помощи тестового вируса EICAR).

Если в ходе тестов на завершение/модификацию процессов один из них завершался (т.е. атака на него удавалась), то все остальные процессы подвергались атаке повторно.

Шаги проведения тестирования:

  1. Установка антивирусной программы на чистую машину;
  2. Перезагрузка системы;
  3. Проверка успешной установки и работоспособности всех модулей программы;
  4. Сохранение образа виртуальной машины;
  5. Проверка самозащиты по одному из параметров;
  6. Повторная проверка работоспособности модулей программы;
  7. Откат системы к сохраненному ранее образу (пункт 4).

Для каждой антивирусной программы выделялась отдельная чистая виртуальная машина - шаг 1. После каждой проверки самозащиты антивируса по какому-либо критерию, машина откатывалась в первоначальное состояние - шаг 4.

По результатам этого тестирования Comodo Internet Security 4.1.19277.920 набрал 89%, получив награду Gold Self-Protection Award

официальный источник

#2

Так пора уже тестировать Comodo Internet Security 5

Надеюсь, CIS 5 Final будет повыше в этом рейтинге чем CIS 4 :comodo110:

#3

А я думаю, что рейтинг скорее всего правдивый. Но есть один ньюанс. COMODO бесплатный, а большинство из тестируемых программ платные, поэтому сравнение не честное. Вот если бы в тесте учавствовал, даже не CIS 5, а CIS 4 - но PRO версия платная, результат был бы совсем другой для COMODO и не в худшую сторону.

#4

Если бы в тесте учавствовала проактивная защита, то я думаю что comodo справился бы со всеми тестами.

#5

Народ, дайте плиз ссылку на тесть от комодо (250 пунктов) …а то чет сомневаюсь вообще в нормальности его функционирования…качаю иногда для проверки с Malware Domain List файлы и проверяю их своим комодом, потом на вирустотале(там написано что комодо нашел…базы ессно одни и те же )

Буду рад за ссылку

#6
дайте плиз ссылку на тесть от комодо
http://personalfirewall.comodo.com/onlinetest.html