Индивидуални тестове, анализи и сравнения на Антивирусни програми

[isaakhim]

Пробвал ли си windows firewall-а, как се справя с въпросният тест на Comodo?

Ако имаш предвид без никаква друга защита освен Windows Firewall, то при мен резултата от теста не дава никаква разлика дали е включена или изключена - 150/340. Може би защото съм зад рутер. Относно SAS. Нямам никакви съобщения свързани с нея. Аз доколкото си спомням проблема беше само при Windows 7 x64, заради самата архитектура на операционната система или PatchGuard. Аз доскоро бях с нея и по спомени, след последните версии на SAS, не са излизали съобщения в Event Viewer. Аз SAS съм го ползвал винаги на Windows 7 и досега не съм имал син екран. Стига да не са прецакали нещо точно в последната версия. Определено ще имам едно наум, особено след проведените тестове с Driver Verifier.

 

Жив и здрав!

[liver]

Ако имаш предвид без никаква друга защита освен Windows Firewall, то при мен резултата от теста не дава никаква разлика дали е включена или изключена - 150/340. Може би защото съм зад рутер. Относно SAS. Нямам никакви съобщения свързани с нея. Аз доколкото си спомням проблема беше само при Windows 7 x64, заради самата архитектура на операционната система или PatchGuard. Аз доскоро бях с нея и по спомени, след последните версии на SAS, не са излизали съобщения в Event Viewer. Аз SAS съм го ползвал винаги на Windows 7 и досега не съм имал син екран. Стига да не са прецакали нещо точно в последната версия. Определено ще имам едно наум, особено след проведените тестове с Driver Verifier.

 

Жив и здрав!

Под windows7\32bit също я пробвах SAS-a. И имаше грешки в event viewera. Поне при мен. Не съм имал син екран, но и не дадох време на програмата да се изяви. Разкарах я и не съм ползвал оттогава. Сега не знам как е, може и да е ок.

 

btw аз бих махнал овърклока, докато не установя на 100% на какво се дължат сините екрани.

[Night_Raven]

Познанията ми относно защитата от зловреден код не са чак толкова големи, че да си позволя да добавям ключове от регистратурата. По скоро разчитам на разработчиците на дадената програма, която ползвам, да са си свършили добре работата в това отношение. Те и без това въпросите са изключително много (особено в началото) на Malware Defender. При мен тестът ActiveDesktop преминава успешно и без никаква защита. Явно по някакъв начин самият Windows 7 е по-добре защитен в това отношение от Windows XP, на който мисля ти правиш тестовете. Иначе Malware Defender се проваля точно на същите тестове, както и при тебе.

Бях забравил, че при теб става въпрос за Windows 7. Възможно е CLT да не е съвместим с Windows 7. Тук например пишат, че е съвместим с Windows XP и Windows Vista, но не и Windows 7. При мен на виртуална машина без никакви защитни програми и CLT стартиран с администраторски права също изкарва 150/340, което ме навежда на мисълта, че инструментът може наистина да не работи коректно под Windows 7. Не че и иначе блести с кой знае какви качества и надеждност, де.

 

Направи ми обаче впечатление, че програмата се проваля на Runner, когато в "Настройки за Контрол на изпълними файлове" маркирам "Третирай непознатите файлове като"- Несигурни. Тя по подразбираране е изключена, но аз преди, когато ползвах програмата, винаги съм я държал включена.

 

http://ploader.net/files/f9cb2ee01ff3a482e7c469b1b55f27a4.png

 

Когато е активирана и стартирам теста, в началото COMODO пита дали да стартирам непознатия файл в "Безопасна среда". Естествено потвърждавам. Стартирам теста и когато стигне до Runner, пропуска да зададе въпроса "clt.exe се опитва да се свърже с opera" и естествено той се свързва и теста там се проваля. Логично не би трябвало да е така. Нали файла все пак е изолиран! Аз все пак съм свикнал при COMODO да има изненади.

Възможно е въпросната изолация да не е толкова пълна. Нямам представа точно как работи тя и как изолира приложенията. А може и да е бъг някакъв. Няма да е нещо ново за Comodo.

 

Online Armor Free изкара 330/340. Понеже правих тестовете късно през нощта, забравих да си отбележа къде се дъни. Кратките ми впечатления от програмата никак не са лоши, въпреки очакванията ми. При инсталацията ме попита, дали искам след пълен анализ на системата, да приеме стартираните програми за доверени. Аз понеже съм сигурен, че нямам стартирани съмнителни програми, се съгласих. Пък и след това винаги може да разгледам какви ги е свършила с определянето. Анализа протече за около 2-3 минути. След което, където и да се рових из настройките на компютъра не ме занимаваше с въпроси, за разлика от Malware Defender, на която вече толкова и свикнах, че ако не ме попита ми става скучно . Нещо, което ми направи впечатление, е че всички файлове, които е анализирала го е направила не само по името на файла а е отбелязала и MD5 хешa. Тоест според мен, дори и по някакъв начин, даден зловреден файл да се замаскира на мястото на доверен, със същото име и разположение, то веднага Online Armor ще отреагира на това и ще го третира като непознат. Установил съм, че Malware Defender засича файла само по неговото име и разположение. Тоест, ако сложа независимо какъв файл в дадена папка и променя името и разширението му като на такъв, който вече е в същата папка, след това го заменя с него, понеже съм създал вече правила за предходния, те автоматично стават валидни и за новия файл. И ако той е примерно svchost.exe, става доста интересно, защото сред многото въпроси, които по принцип задава програмата, може човек да не обърне нужното внимание точно за такъв системен файл. Автоматично да отговори и заразяването е налице. Естествено замяната на такъв системен файл единствено може да стане при спряна Malware Defender. Ако е пусната веднага ще предупреди за евентуалната подмяна. Тя може би и затова е толкова лека откъм системни изисквания, защото следи файловете само по имена и местонахождение. Но то май повечето HIPS програми работят на този принцип. Да се върна на Online Armor. От четирите (за другата ще напиша след малко) програми, които тествах използва най много RAM памет, но не толкова колкото използваше преди около една година, когато пак я бях тествал. Общо взето не се усеща, че работи. Определено програмата върви в доста добра насока. Много би допаднала на по-неопитните потребители, защото май задава най малко въпроси, а когато ги задава общо взето има за какво. Това също не е за пренебрегване, защото насочва по-добре вниманието.

Да, Malware Defender не си изготвя списък с контролни суми (checksum/hash), защото тя разполага със защита на файловата система и реално потребителят може да блокира подмяна на важни файлове, така че контролните суми не са наложителни. Според мен е можело да се включи като опция за допълнителна защита, която да е изключена по подразбиране и само по-параноичните да си я включват. И все пак не е болка за умиране.

Да, Online Armor с времето наистина поолекна. Това е факт. И все пак я намирам за най-тежка от по-известните подобни програми, другите бидейки Comodo Firewall/Internet Security, Outpost Firewall/Security Suite, Privatefirewall и PC Tools Firewall Plus.

Нормалено е Online Armor да не задава много въпроси. Тя може да се класифицира като "интелигентен HIPS". Същото важи и за Comodo Firewall/Internet Security, Outpost Firewall/Security Suite и Privatefirewall. Под "интелигентни" имам предвид, че разполагат с т.нар. бял списък (whitelist) с програми/автори, които се считат за доверени и HIPS механизмите не им обръщат внимание. Malware Defender е от сурови/глупави HIPS програми. Тя няма информация кое е редовен процес и кое не е. Тя разчита изцяло на потребителя за всичко. Това си има както минуси, така и плюсове. Двата типа HIPS програми са прицелени в общо взето различни групи потребители. Интелигентните HIPS програми се опитват да удовлетворят не толкова опитните потребители и/или по-мързеливите такива, които не им се занимава. Суровите HIPS програми са с доста по-тесен кръг от потребители, защото хората, които имат време, нерви и желание да изпипват правилата на HIPS програмите си, са доста малко. То затова и такива сурови HIPS програми почти няма. Всъщност Malware Defender е единствената активна такава програма. Всички останали такива са изоставени преди доста време. Най-ярките такива примери са 2: ProSecurity Free/Pro, чиято автор се присъедини към екипа на Comodo, а програмата беше продадена, преименувана на Real-time Defender, пусната като безплатна и на практика изоставена, и System Safety Monitor Free/Pro, чиято автор просто спря да я разработва, защото нямаше особени печалби.

 

Четвъртата, която пробвах е Privatefirewall 7.0.22.5. Тя разбира се според очакванията ми се справи най-слабо на теста 270/340. Пробвах с какви ли не настройки, но резултатът беше винаги един и същ. Явно толкова си може програмата относно този тест. Което от своя страна не значи, че програмата е лоша, или че ще се справи зле в реален сблъсък със зловреден код, както по-нагоре отбеляза Night_Raven. Всичко зависи от какво естество е самата заплаха. Както и преди, програмата си е останала толкова лека и с почти нищо не се е променила за тази една година. Поне на пръв поглед изглежда така.

Определно не значи, че програмата е лоша. Това е категорично най-леката програма в своята категория и предоставя отлична защита, независимо че изкарва по-малко точки. Промени по програмата определно има, но те са почти само "под капака". Програмата определено се развива много добре. Малко бавничко, но точно както трябва - подобряване на защитните й способности като цяло, отстраняване на бъгове и причини за нестабилности/несъвместимости, без да се разводнява и разплува.

Аз например бих предпочел точно Privatefirewall пред всички останали подобни програми, ако ми се наложи да направя избора. И то без да се замислям и за миг.

 

За протокола: при мен Privatefirewall изкарва 290/340 под Windows XP на виртуална машина.

 

Относно сините екрани: възможно е Malware Defender да е наистина причинителят, но да е в контекста на твоята система. Т.е. в комбинация с някой друг драйвер да се получава някакъв конфликт. Доколкото чета мнения на потребители, които я ползват под Windows 7, няма никакви проблеми от такова естество. При мен, под Windows XP SP3, няма никакви проблеми вече... не знам точно колко време.

Друго, което трябва да се отбележи, е това, че е добре първо да изтриваш старите настройки за тестване, да рестартираш и тогава да преминаваш към нов тест. Не съм сигурен дали директно преминаване към нов тест ще изтрие старите, затова бих препоръчал ръчно да се изтриват.

Иначе да, Malware Defender при всяка инсталация си създава драйвер с произволно име, което е допълнителен защитен механизъм срещу зловреден код. Има опция да се ползва винаги драйвер с едно и също име, за което трябва рестарт. След това драйверът е винаги с име mdcore(.sys).

[tanganika]

Когато приложението или зловредния код е третиран от Sanbox-а на Комодо като :

 

Partially Limited - The application is allowed toaccess all the Operating system files and resources like

clipboard. Modification of protected files/registry keys is not allowed.Privileged operations like loading

drivers or debugging other applications are also not allowed.

 

Доста рехаво ограничаване при което се провали когато го тествах със зловреден код

http://hosting11.imagecross.com/image-hosting-56/79632.jpg

 

 

Когато приложението или зловредния код е третиран от Sanbox-а на Комодо като :

 

Restricted - The application is allowed toaccess very few operating system resources. The application is

not allowed to execute more than 10 processes at a time and is run with very limitedaccess rights.

 

Много ограничени права , при тестове със зловреден код ( над 100 файла ) включително Virut и Rootkit TDL3 Alureon се справи на 100 %

http://hosting11.imagecross.com/image-hosting-56/9561.jpg

 

 

 Клип  http://www38.zippysh...75693/file.html

 

А когато теста Advanced Process Termination (APT) v4.0 бъде стартиран като недоверен с Defense Wall не се вижда нито един процес който да бъде атакуван.

[isaakhim]

За да не бъда голословен повторих CLT теста с Privatefirewall 7.0.22.5. Този път изкарах 290/340 точки. Разбрах кой е единия тест, на който преди това се беше провалила програмата, а сега го премина успешно - Coat. Свързан е с браузърите, които са инсталирани на компютъра. Един път ако теста премине неуспешно и след това не се изтрият Temporary Internet Files в Internet Explorer, то той при следващо изпълнение винаги не се покрива. Аз впоследствие разбрах за това, след като прочетох подробности за всеки един от тестовете в CLT. Така и не ми стана ясно кой е втория. При мен Privatefirewall се проваля на ChangeDrvPath, RawDisk, KnownDlls, BITS и StartupPrograms. Това го пиша конкретно за всички, които биха се повлияли от точки изкарани в даден тест при избора на програма за защита.

 

Относно тестовете с Driver Verifier:

Друго, което трябва да се отбележи, е това, че е добре първо да изтриваш старите настройки за тестване, да рестартираш и тогава да преминаваш към нов тест. Не съм сигурен дали директно преминаване към нов тест ще изтрие старите, затова бих препоръчал ръчно да се изтриват.

Аз винаги при провален тест и влизане в Safe Mode, проверявам в Display existing settings кои драйвери са активни при теста. Досега не е имало разминаване. Т.е. точно само зададените от мене последно, присъстват в списъка. Само понякога го има и ndis.sys, който аз не съм задал, но понеже е на Microsoft и предполагам, че е нормално. Разбира се ще послушам твоя съвет за изтриване първо на старите преди нов тест, но повярвай ми, че след многократни тестове ми писва от многобройните рестартирания на системата и гледам да ги сведа до минимум. Отделно, толкова рестартирания предполагам, че не се отразяват много добре на хардуера. Единствено се осланям на това, че имам качествено захранване (Corsair TX650W) и се надявам то да компенсира негативните влияния. Така или иначе докато не открия виновника за сините екрани няма да се откажа. Най лошото е, че последния интервал между тях беше 20 дена и не е ясно още колко ще се наложи да чакам.

 

Благодаря на Night_Raven и liver за помощта, която се опитвате да ми окажете!

[Гост tnn]

Това, че не знаеш какво и как да инсталираш си е твой проблем. Аз не бих инсталирал повече от 1 програми със сходни функции.

Съчетаването на програми със сходни функции не е нещо невъзможно. Съществува техника за сработването им - стига това да е възможно. Задачата за проверки обикновено отнема часове. Защото някои комбинации по принцип не са несъвместими. Ето, днес успешно съвместявам китайския Twister Anti-TrojanVirus с руската Defense Wall HIPS. Това си е уникално. Malware Defender е потенциално нежелано или опасно приложение според Comodo/Twister. Аз не им оспорвам преценката - просто не ми е задължително нужно за ползване това безплатно китайско програмче.Има и по-добри!

[lordergf]

 

[/b]

 

А когато теста Advanced Process Termination (APT) v4.0 бъде стартиран като недоверен с Defense Wall не се вижда нито един процес който да бъде атакуван.

За сега не съм видял нещо да пребори DefenseWall и за мен това си остава най -добрия сандък ... Мое мнение не ангажирам никой с него

 

За протокола имам законен лиценз за програмата !

[nikikom]

Ето какво се вижда при ограничен акаунт

 

 

http://store.picbg.net/pubpic/BD/B4/098f441fcd67bdb4.JPG

[Night_Raven]

Съчетаването на програми със сходни функции не е нещо невъзможно. Съществува техника за сработването им - стига това да е възможно. Задачата за проверки обикновено отнема часове. Защото някои комбинации по принцип не са несъвместими. Ето, днес успешно съвместявам китайския Twister Anti-TrojanVirus с руската Defense Wall HIPS. Това си е уникално. Malware Defender е потенциално нежелано или опасно приложение според Comodo/Twister. Аз не им оспорвам преценката - просто не ми е задължително нужно за ползване това безплатно китайско програмче.Има и по-добри!

Не е невъзможно, но е нежелателно.

Malware Defender не е потенциално нежелано приложение. Стига простотии вече. Програмата е 100% редовна. Направо те съжалявам, че приемаш всичко, което антивирусната ти каже, за вярно, без да се замисляш. Един ден ще някой системен файл ще вземе да опере пешкира заради тая твоя параноя.

Има по-добри програми от Malware Defender? Какви?

По-добри защитни програми като цяло? В зависимост от нуждите, възможностите и знанията на даден потребител наистина има по-добри, в смисъл по-добре пасващи.

По-добри HIPS програми въобще? Много относително. Всяка една от другите стени с HIPS е по-добра с нещо от MD, но пък е по-зле от нея в друг аспект, така че няма как да се излъчи конкретен победител.

По-добри чисти HIPS програми? Категорично не. Malware Defender е единствената такава в момента, по която тече някаква разработка.

[Гост tnn]

"Програмата е 100% редовна." Сега Comodo и Twister реагират и искат да отстраняват Malware Defender - дори и да грешат, това не е простотия.Възможни са сложни сработвания при всички програми. И през ум не ми минава заради това сега да сменям Twister Anti-TrojanVirus. Пробвах днес заради любопитството и се изненадах - той съвсем безпроблемно се сработи с Private Firewall 7, като защитната стена я инсталирах последна. Malware Defender колкото и да я доразработват - няма как да е съпоставима с възможностите на комплексния китайски антивирус. Той затова ми е интересен, а сега не е толкова параноичен като преди. Настроен е нищо да не изтрива без потвърждение от ползвателя. При мен от 13 ноември досега Twister не е успял да се изяви с по-фрапираща фалшива тревога - естествено, пак ще го деинсталирам, ако това отново се случи. Defense Wall HIPS не е ли по-добра от Malware Defender - също се доразработва. Сега се чудя коя програма да оставя по-трайно с Twister.Азиатецът само с Malware Defender влиза в конфликт. Поздрави

[Night_Raven]

Никой не ти казва да сменяш Twister Anti-TrojanVirus. Ползвай каквото искаш. Мисълта ми беше да не твърдиш, че Malware Defender е зловредна/неработеща програма, защото това няма нищо общо с истината.

Да сравняваш Twister Anti-TrojanVirus с Malware Defender е общо взето нередно, защото двете програми имат напълно различни цели. Първата е антивирус с нещо като разширени евристики, а втората е пълноценен и чист/суров HIPS продукт. Ако говорим конкретно за HIPS механизми, то Twister Anti-TrojanVirus е се представя изключително слабо спрямо Malware Defender. Просто няма място за сравнение. И все пак, както вече споменах, идеите на двата продукта са различни, така че това е нормално.

Ако говорим само за ниво на защита, то да, DefenseWall е малко по-добра в това отношение, но ако имаш предвид по-добра като цяло, тогава е много по-относително, защото двете програми не са в една и съща категория и всяка от двете си има плюсове и минуси.

[Гост tnn]

Споделям същото мнение за DefenseWall и ще я предпочета за компания на азиатеца. Защо съм се спрял на Twister Anti-TrojanVirus е обобщено така "Quick Scan can complete a scan for 120GB hard disk with 400,000 files within 1 hour, over 100 files every second free downloadable dj mixer. It also has the Registry Protection, Process Protection, Virus Immunity System etc. All of these features only needs very low system requirements about 64MB Memory and 586 CPU." Известен ли Ви е по-бърз антивирус, с подобни възможности и при такива минимални системни изисквания?

[Night_Raven]

Аз от системни изисквания не се впечатлявам, а от това, което виждам лично. Поне откъм памет Twister се справя прилично, но не е нещо кой знае какво. Скоростта на сканиране също е много относително нещо. А и да не говорим, че това са данни от компанията автор на програмата. Аз на официални рекламни твърдения вяра нямам. Всеки си хвали продукта и преувеличава колкото си иска.

[Гост tnn]

Хем съм съгласен, хем съм пак с едно наум. Ще посоча пример с творчество от Украйна, при което днес все още мълчат всички програми от комплектността на Вирустотал. За любителите на екстремални експерименти, които ще се осмелят да проверяват, остава намерения валиден сериал за добрата програма. Азиатецът Twister обаче не мълчи. Emsisoft Online Armor също не мълчи.Как да не се върне човек към тази все немълчаща двойка!? Сега ми е интересно кои съфорумци ще пробват и какво изобщо ще установят - а ще има ли такива ? И се шегувам, разбира се... Обаче сега не ми се издава къде и с какво точно. Поздрави

[Night_Raven]

Инсталацията на TuneUp Utilities, която беше дал, беше напълно безвредна и валидна. Не беше зловреден софтуер. Беше обаче придружена с нелегален лиценз и затова е премахната.