Что лучше комодо или аваст

Обновлено: 03.07.2024

Что для вас "лучший"? Который не грузит систему и быстрый? Или который лучше сканирует и защищает от вирусов? Потому что это взаимоисключающие понятия!
http://www.comss.ru/page.php?id=1554 Те, которые наверху таблицы, лучше всего сканируют от вирусни и защищают компьютер, а самые "быстрые" и "лёгкие" (для слабых компьютеров и нетбуков) - в середине списка. Внизу списка - те, которые вообще мышей не ловят.
Говорят, Comodo один из самых лучших.
Скажу только про свой опыт.
Во-первых. Отключить его через менеджер задач Anvir Task Manager не удалось. А Панду и Авиру отключил, блджад. Это говорит о хорошей самозащите Коморды, вирус её тоже не отключит.
Дальше. Ресурсов жрёт мама дорогая. Один раз даже БСОД был. А компик у меня - Pentium DualCore E660, nVidia GT220, 2Gb DDR2. После этого я отключил Sandbox. Стало немного полегче дышать. Чтож, это главный принцип - если хочешь качественной защиты, надо терпеть тормоза. Если хочешь быстрой работы антивиря, забудь про хорошую защиту.
Ещё плюсы? Очень тонкая настройка проактивной защиты, фаервола. Это радует. Есть пространство для творчества. Можно создавать свои правила для проверок и приложений. Вообще само наличие проактивной защиты радует, её нет ни у одного бесплатного антивируса.
Офигенная штука - Dragon. В нём можно запускать сомнительные программы без риска для системы. Может полностью заменить рабочий стол. Мощный убийца процессов - KillSwitch. Завершит любой зависший процесс.

Пользуюсь авастом 5 лет, без нареканий. Ставил Комодо - мне не понравилось, куча лишнего.

Аваст - простенький . .для ненапряжных - в COMODO же есть переключение в игровой режим и ещё несколько полезных настроек.

аваст - лидер среди бесплатных антивирусов, комодо - среди фаерволлов, хотя последнее время отрицательных отзывов на антивирус комодо стало гораздо меньше и тесты хорошо проходит
для дома - аваст, для организации - комодо альтернативы нет

Хуже аваста ещё не видел говна, лично встречал, ругается сам на себя, что он есть вирус, а сделать сам с собой ничего не может. Вчера на работе столкнулся с тем, что эта сука залочила инет пользователю и что только с ним не делай, а инета нету, настраивать я умею "работаю системным админом" дабы не думали, что слова взяты с потолка. Несколько дней назад этому говну чего то вздумалось на одном из компьютеров перекрыть доступ к расшаренному принтеру. год или полтора назад встретился с тем, что этот никудышний антихмырь перестал пускать клиентов одного провайдера в интернет, ему вдруг вздумалось ни с того ни с сего заблокировать настроенное подключение VPN. ЭТО НЕ АНТИВИРУС, ЭТО ДОПОЛНИТЕЛЬНЫЕ ПРОБЛЕМЫ НА ГОЛОВУ ПОЛЬЗОВАТЕЛЯ.


Решил я после обзора одного единственного антивируса AVG Antivirus 9.0 от хабравчанина Courteous написать свой и пройтись по бесплатным решениям в этой области.

Оценка антивирусов проводилась по трём параметрам — юзабилити (тут с моими оценками хабрасообщество может не согласиться), потребление ресурсов и надёжность (надёжность я оценивал по знаменитому архиву из 3732 вирусов).

A-Squared Free


Основные особенности a-squared Free 4.5
• Удаляет трояны, программы-шпионы (Spyware), рекламное ПО (Adware), интернет-червей, клавиатурных шпионов (Keyloggers), руткиты (Rootkits), звонильщики (Dialers) и другие угрозы.
• Прост в использовании и полностью бесплатен
• Более 4 млн. пользователей по всему миру

Для обладателей не слишком шустрого или лимитированного интернета минусом может являться факт начального обновления на 33мб.
Осторожно, под катом много скриншотов!

В плане интерфейса продукт мне понравился, весьма сложно заплутать в меню. Но это оказалось ложкой мёда в бочке с дёгтем, потому как совершенно неудовлетворительно продукт справился с нахождением вирусов, кроме того чрезмерно потребляет ресурсы в процессе сканирования.



Итоговая оценка:
Юзабилити: 10/10
Потребление ресурсов: 3/10
Надёжность: 4/10

Вывод: это антивирусное решение я вообще никому не могу посоветовать, слишком высок шанс словить какую-нибудь гадость.

Avast! Free Antivirus

Я достаточно долго жил с этим антивирусным решением, но не нравилось большое количество ложных срабатываний и проблемность добавить файл в список безопасных.

При установке приятной неожиданностью является предложение дополнительно установить Google Chrome. Количество модулей достаточно объёмно и будет вполне достаточно для большинства пользователей.


Весьма симпатичный дизайн, нареканий к удобству нет никаких.


Работает при сканировании значительно быстрее и качественнее A-Squared Free, кроме того ресурсов «кушает» тоже значительно меньше.



Итоговая оценка:
Юзабилити: 10/10
Потребление ресурсов: 8/10
Надёжность: 9/10

Вывод: Avast! Free Antivirus вполне можно советовать многим пользователям, безопасность компьютера будет на весьма неплохом уровне.

AVG Antivirus Free

На хабре недавно уже был обзор платной версии этого решения, но я решил также рассмотреть и бесплатный вариант.

Основные характеристики AVG Anti-Virus Free Edition:
— Автоматические обновления на все время пользования антивирусом.
— AVG Resident Shield проводит сканирование файлов во время их открытия и программ при их запуске.
— AVG E-mail Scanner проверяет всю вашу электронную почту.
— AVG On-Demand Scanner позволяет пользователю сканировать компьютер на наличие вирусов, как по расписанию так и вручную.
— Заботливое обращение с инфицированными файлами (может лечить зараженные вирусами файлы).

Интерфейс удобный, ничего плохого о нём сказать не могу; памяти практически не потребляет.



С нахождением вирусов блестяще справляется этот пакет.


Итоговая оценка:
Юзабилити: 10/10
Потребление ресурсов: 10/10
Надёжность: 10/10

Вывод: Это решение я могу советовать куда в большей степени, чем Avast! Antivirus Free, хоть интерфейс и не такой симпатичный.

Comodo Antivirus


Сам лично пользуюсь максимальной редакцией продукта от Сomodo — Comodo Internet Security — по той причине, что отлично справляется с вирусами и, несмотря на сложноватый для новичка интерфейс, позволяет легко контролировать действия всех приложений на компьютере. Плюс приятно, что объединены в 1 пакет и антивирус, и брандмауэр. Ещё интересной особенностью является фича ThreatCast — при появлении окошка с выбором действия (если какое-то приложение, к примеру, хочет записать что-то в реестр или выйти в интернет) так же показывается как поступили другие пользователи Comodo в данной ситуации. Кроме того, это, пожалуй, единственное решение, которое также предлагает использовать свой dns.

А вот что пишет о нём официальный источник.

Основные возможности Comodo AntiVirus
• Расширенный эвристический анализ и превентивная защита позволяют перехватывает неизвестные вирусы.
• Защита в реальном времени, мониторинг процессов и сканер по требованию.
• Блокирование интернет-червей до того, как они начнут свое действие.
• Сканирование электронной почты.
• Автоматическое ежедневное обновление вирусной базы.

Антивирус Comodo имеет функциональность платных антивирусных программ — обнаруживает и удаляет все известные вирусы, трояны, интернет-черви с вашего компьютера, при этом доступен абсолютно бесплатно.

При описании a-squared Free, я упомянул о большом объёме начальных обновлений. Тут с этим ещё хуже — 85,9мб. Оперативки кушает совсем не мало, но это компенсируется очень высоким результатом в нахождении вирусов.



Итоговая оценка:
Юзабилити: 8/10
Потребление ресурсов: 8/10
Надёжность: 10/10

Microsoft Security Essentials


Вообще достаточно интересно, что Microsoft выпустила бесплатное антивирусное решение. Я это считаю положительным моментом. Приятная особенность — перезагружать систему после установки MSE совершенно не требуется. Ещё можно отметить тот факт, что антивирус умеет лечить заражённые файлы, а не только удалять или помещать в хранилище.

Ключевые функции
* Совершенная защита от вредоносных программ
* Простая бесплатная загрузка*
* Автоматическое обновление
* Легкость использования
*Чтобы установить Microsoft Security Essentials, на компьютере должна работать подлинная ОС Windows.

Первое обновление антивируса прошло весьма быстро и потому можно было приступить к полевым испытаниям.


Из минусов могут отметить зависание программы при попытке вылечить вирусы в архиве. Также не нашёл чем объяснить аномальную загрузку процессора (ничего не сканировалось, просто система после загрузки).


Так что для XP я не могу его рекомендовать, на windows seven такого поведения замечено не было.

Итоговая оценка:
Юзабилити: 8/10
Потребление ресурсов: 1/10
Надёжность: 9/10

Nano AntiVirus


Вот как позиционируют свой продукт разработчики.
— Обеспечение защиты вашего компьютера от всех типов вирусов, троянских программ и червей, включая их шифрованные и полиморфные разновидности.
— Защита вашей системы в режиме реального времени, гарантирующая безопасность данных пользователя в течение всего времени его работы.
— Расширенная поддержка средств распаковки, позволяющая выявлять вредоносные программы в различных типах архивов.
— Высокая скорость работы, достигаемая за счет применения передовой системы сканирования.
— Система анализа, позволяющая выявлять новые, еще не занесенные в вирусные базы, вредоносные программы по особенностям их поведения.
— Оперативное, не реже чем раз в сутки, обновление вирусных баз, своевременно защищающее ваш компьютер от новых вредоносных программ.

В плане интерфейса антивирус понравился, все настройки очень просты и очевидны. Из минусов могу выделить весьма большие по размеру всплывающие окна.
С нахождением вирусов NanoAV справился весьма и весьма хорошо.


А вот прожорливость в плане оперативной памяти несколько повышенная.


Итоговая оценка:
Юзабилити: 10/10
Потребление ресурсов: 6/10
Надёжность: 9/10

Zillya! Антивирус


При установке насильно заставляют указать имя, фамилию и адрес электропочты — жирный минус. После установки пользователя поджидает типичное предложение перезагрузить систему — перезагружаемся.

Легко заметить, что разработчики не поленились написать о самых очевидных и привычных фичах любого антивируса. Что ж, это их право, а я посмотрю насколько хорошо это антивирусное решение справляется со своей основной задачей — нахождением вирусов :)


А справился, как видно по скриншоту, продукт весьма плохо с основной обязанностью.

Оперативную память тоже весьма любит.


Так что этот продукт я никому посоветовать и не могу, честно говоря при таком количестве пафоса я ожидал от него большего.

Итоговая оценка:
Юзабилити: 9/10
Потребление ресурсов: 5/10
Надёжность: 6/10

Avira AntiVir Personal


Функции.
— AntiVir: останавливает все виды вирусов
— AntiDialer: защищает от дорогих диалеров
— AntiRootkit: распознает скрытые руткиты
— Новый сканер: до 20 % быстрее
— Большее удобство для пользователя
— Антишпионское ПО: устраняет вредоносное и шпионское ПО
— NetbookSupport для ноутбуков с малым разрешением
— QuickRemoval: удаление вирусов одним нажатием клавиши мыши

Относительно аскетичный интерфейс, который определённо придётся по душе противникам всяких прозрачностей и вообще няшных интерфейсов. Ещё лично на меня продукт произвёл впечатление весьма серьёзного софта для суровых знающих, что им надо, людей. И я не ошибся, смотрим на результат.


Оперативки не кушает, так что весьма хороший софт. Однако Premium-вариант предлагает уже несколько больше web-ориентированных методов защиты.
— Антифишинг: Защита от фишинга
— WebGuard: проверяет отсутствие вирусов в загружаемых файлах
— AntiDrive-by: блокирует загрузку вирусов при работе в Интернете
— RescueSystem: создает диск для восстановления
— Расширенная защита электронной почты (POP3 + SMTP)
— Быстрый сервер обновлений продуктов серии Premium


Итоговая оценка:
Юзабилити: 8/10
Потребление ресурсов: 10/10
Надёжность: 9/10


Признаюсь, я питаю слабость к всяким симпатишным интерфейсам, но так, чтоб это было не в минус удобству использования. Тут мы видим только «рабочую лошадку», совершенно без всяких изысков. Что ж, буду надеяться, что работает этот продукт лучше, чем выглядит.


Однако, мои опасения оправдались, и продукт оказался полностью неспособен хоть как-то распознать вирусы, находящиеся в архиве. Возможно, с их нахождением за пределами архива, он справился бы лучше, но что есть — то есть.


Итоговая оценка:
Юзабилити: 10/10
Потребление ресурсов: 10/10
Надёжность: 0/10

ClamWin


Это антивирусное решение также обладает крайне аскетичным интерфейсом. А вот результаты тестирования достаточно забавны — с одной стороны вирус был найден, с другой — по результатам я понял, что с архивами продукт вообще не умеет работать.



Итоговая оценка:
Юзабилити: 10/10
Потребление ресурсов: 10/10
Надёжность: 2/10

Panda Cloud Antivirus


В интерфейсе нет ничего лишнего, он весьма напоминает таковые в продуктах на базе Adobe Air и это скорее в плюс, чем в минус. Но без минусов не обошлось — порядка 10 часов времени было убито, чтобы протестировать этот антивирус. Всё дело в том, что он работает по «облачной» системе, то есть наилучшие результаты показывает при наличии интернета — происходит проверка данных по типу контрольных сумм некоторых параметров. В общем целом такая схема позволила добиться достаточно неплохого уровня детектирования вирусов, но производительность оставляет желать лучшего. Плюс процессор виртуальной системы был постоянно забит в течение этого времени на 100%, что, впрочем совершенно не помешало поиграть в starcraft 2 :)


Потребление оперативной памяти.


Итоговая оценка:
Юзабилити: 10/10
Потребление ресурсов: 10/10
Надёжность: 9/10

Сводная таблица результатов тестирования.

Название Юзабилити Потребление Ресурсов Надёжность Итого «Корпоративная бесплатность»
A-Squared Free 10 3 4 17
Avast! Free Antivirus 10 8 9 27
AVG Antivirus FREE 10 10 10 30
Comodo Antivirus 8 8 10 26
Microsoft Security Essentials 8 1 9 18
Nano AntiVirus 10 6 9 25
Zillya 9 5 6 20
Avira AntiVir Personal 8 10 9 27
AVZ 10 10 0 20
Panda Cloud Antivirus 10 10 9 29

p.s. Мой первый топик на хабре (=

Up. Добавил в обзор AVZ, Panda Cloud Antivirus, ClamWin и Avira AntiVir Personal.
Up2.Перенёс в блог «Информационная безопасность».

DavdidDuh

Newbie Перенести тему невозможно ( точнее говоря в этом нет смысла - все темы кроме ESET и uVS - закрыты ) Несколько лет назад создали алгоритм идентификации по набору текста. Каждый человек набирая текст имеет свой почерк ( это заметили ещё в первую мировую войну - когда человек работал на ключе - радиопередатчике ) Сейчас работают машинные алгоритмы. Думаю и с курсором та же история. ( всё сводиться к накоплению статистических данных - чем больше их обьём тем надёжнее идентификация ) Во всех странах есть своё законодательство. И считывание чужой информации - равносильно её краже. Если _специалисты этим и занимаются - то только в рамках борьбы с орг. преступностью. т.е. в рамках расследования инцидентов и слежки за подозреваемыми. + читаем лицензионное соглашение к программе. И ? Яндекс - зарабатывает на рекламе. Он может и должен интересоваться местоположением потенциального клиента. Чем он интересуется - какие рядом находятся места отдыха - аэропорты - магазины и т.д. и пользователю выдаётся контекстная реклама. Моторика человека индивидуальна . Но речь не о 100% результате, а % совпадении\схожести. Но нужен образец для сравнения. Такая технология разрабатывалась. Приминяется ли она на практике - не интересовался. ----------- Вообще форум мёрт. Рекомендую найти другой форум.

Newbie

PR55.RP55

Хотелось бы чтобы Инфо. ( для создания\настройки критерия ) Содержало информацию: CPU: 96.75% * Внимание превышен 15% Порог. CPU: 483.75% * Внимание превышен 15% Порог. так как нагрузка плавает и невозможно задать точное значение.

В прошлой статье под пресс нашего редакционного катка попали лидеры мирового антивирусного фронта. В этом же выпуске мы обратим свои взоры на самые что ни на есть халявные (а потому популярные) антивирусные продукты.


Этим отличия от прошлого теста не ограничатся — мы будем тестировать не эвристику, а проактивную защиту. А что же такое проактивная защита? Разные компании используют различные названия: реальная защита, защита в реальном времени и так далее, но суть одна: проверка файла на вредоносность осуществляется в процессе его работы. Это и отличает данную технологию от эвристики, задача которой состоит в том, чтобы определить статус файла еще до его запуска. Если эвристические сигнатуры обычно проверяют наличие подозрительных особенностей исполняемого образа, эмулируют машинный код или вызовы системных функций, то вся проактивка, как правило, следит за активностью файла в системе. В основном это достигается с помощью перехватов некоторых системных функций, отвечающих за работу с файлами, реестром, процессами и сетью.

В качестве испытуемых были выбраны пять антивирусов. В этом краштесте я буду пытаться обойти AV-продукты от Avast, Avira, AVG, Comodo, ClamAV. А теперь — немного конкретики о версии каждой программы и ее настройках.

Avira AntiVir Personal

Первый в списке тестируемых антивирусов: Avira AntiVir Personal — Free Antivirus. Версия 9.0.0.13. В этом продукте присутствует один модуль, который, похоже, выполняет роль проактивной защиты — AntiVir Guard. Его я, естественно, включил. Опции довольно скудные, помимо настройки «агрессивности» анализа я больше ничего из того, что могло бы повлиять на качество защиты в реальном времени, не обнаружил.

avast! FREE Antivirus

Следующий подопытный — avast! FREE Antivirus, версия 110319-1. У аваста, в отличие от авиры, есть целая секция «Экраны в реальном времени». Я убедился, что все модули (а особенно «Экран поведения» — видимо, у аваста проактивная защита именуется именно так), входящие в эту секцию, включены.

AVG Anti-Virus Free Edition

Последний антивирус в нашем тесте, который начинается на букву «a» — AVG. Я тестировал AVG Anti-Virus Free Edition, версия 10.0.1204. Этот антивирус не отличается большим количеством настроек. Насколько я понял, проактивная защита представлена в компонентах Resident Shield, Anti-Rootkit, Anti-Virus и Identity Protection.

ClamAV

Продукт Immunitet 3.0 от ClamAV довольно прост в использовании. Большинство настроек представлено radiobutton’ами — «да» или «нет». Защиту в реальном времени здесь обеспечивает компонент Monitor Program Start. Я дополнительно включил детектирующий движок ClamAV, который был по умолчанию отключен. Отмечу, что при установке я выбрал версию Free (Cloud + AV), а не Trial, которая значительно превосходит бесплатный аналог по функциональности.
Тестировался продукт версии 3.0.0.18.

Comodo Antivirus Free

Последний исследуемый антивирусный продукт — Comodo Antivirus Free, версии 5.3.181415.1237. В Comodo, в отличие от предыдущих антивирусов, присутствуют очень богатые настройки — интерфейс предлагает нашему вниманию огромное количество галочек и ползунков. Проактивная защита обеспечивается компонентой Defense+, которая также гибко настраивается. Я выбрал максимальный уровень защиты, установив Paranoid Mode, который, правда, практически не отличается от Safe Mode.

Сама методика тестирования очень простая: каждый тестовый файл запускается, а затем я фиксирую (или не фиксирую) предупреждение от антивируса.
А теперь к самому интересному — тестовые файлы.

Тест первый: прописываемся в автозапуск

Простейший вариант — просто чтобы проверить, работает ли проактивная защита вообще. Итак, первый тестовый образец всего лишь прописывает сам себя в «святая святых» Windows — автозапуск по ключу реестра hklmsoftwarewindowscurrentversionrun. Часть исходного кода:

wchar_t szFullPath[MAX_PATH] = ;
GetModuleFileNameW(0, szFullPath, MAX_PATH);
HKEY hKey = 0;
RegOpenKeyW(HKEY_LOCAL_MACHINE, L"Software\Microsoft\ Windows\CurrentVersion un", &hKey);
UINT ExitCode = RegSetKeyValueW(hKey, 0, L"MalwareAutorun", REG_SZ, szFullPath, lstrlenW(szFullPath) + 1);

Алгоритм работы этой программы очевиден — получение полного пути самого себя и последующая запись в автозагрузку в реестре. Это один из самых популярных у зловредов вариантов добавления программы в автозапуск. И каковы результаты? Довольно странно, но самый примитивный способ закрепления зловреда в системе был обнаружен только двумя антивирусами: Avast и Comodo обнаружили угрозу, остальные же не помешали записи в авторан.

Тест второй: получаем права отладчика

Следующий образец я создал, чтобы проверить, как исследуемые антивирусы работают с Token’ами (цифровыми ключами доступа). С этой целью я накидал простую программу, которая выставляет себе права отладчика. Фрагмент исходника:

HANDLE hToken = 0;
UINT nReturnCode = 0;
LUID UID = ;
TOKEN_PRIVILEGES TokenPrivileges = ;
nReturnCode = OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &hToken);
nReturnCode = LookupPrivilegeValueW(0, SE_DEBUG_NAME, &UID);
TokenPrivileges.PrivilegeCount = 1;
TokenPrivileges.Privileges[0].Luid = UID;
TokenPrivileges.Privileges[0].Attributes = 0;
nReturnCode = AdjustTokenPrivileges(hToken, false, &TokenPrivileges, 0, 0, 0);

Код довольно примитивен — получаем токен текущего процесса, а затем ему назначаются привилегии отладчика с помощью функции AdjustTokenPrivileges. И что же? Снова Comodo и Avast справились с этой «угрозой», остальные спокойно промолчали. Ситуация весьма удручающая.

Тест третий: инжект в память чужого процесса

Сделаем пример посложнее, а именно — программку, выполняющую инжект в память другого процесса. Под «инжектом» я подразумеваю выделение памяти в чужом процессе, запись туда своего кода и дальнейший старт удаленного потока. Этот метод можно назвать классическим среди современных вирусов, так как он позволяет выполнять вредоносные действия «под» доверенным процессом. Фрагмент кода программы-образца:

UINT nReturnCode = 0;
HANDLE hExplorerProcess = 0,
hSnapshot = 0, hRemoteThread = 0;
PROCESSENTRY32W pe32 = ;
UINT ExplorerID = 0;
hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
pe32.dwSize = sizeof(PROCESSENTRY32);
Process32FirstW(hSnapshot, &pe32);
if(!lstrcmpiW(pe32.szExeFile, L"explorer.exe"))
ExplorerID = pe32.th32ProcessID;
else
for( ; nReturnCode = Process32NextW(hSnapshot, &pe32) ;)
if(!lstrcmpiW(pe32.szExeFile, L"iexplore.exe"))
ExplorerID = pe32.th32ProcessID;
break;
>
>
>
if(!ExplorerID)
return 0;
CloseHandle(hSnapshot);
hExplorerProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, ExplorerID);
PVOID pExplorerMemory = VirtualAllocEx( hExplorerProcess, 0, 0x3000, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
nReturnCode = WriteProcessMemory (hExplorerProcess, pExplorerMemory, ThreadFunc, 0x1000 ,0);
hRemoteThread = CreateRemoteThread(hExplorerProcess, 0, 0, (LPTHREAD_START_ROUTINE) pExplorerMemory, &ExplorerID, 0, 0);

Здесь с помощью функций Process32First/Process32Next я ищу необходимый мне процесс iexplore.exe. Далее, когда он найден, я получаю ID процесса, хэндл процесса и выделяю в адресном пространстве последнего регион памяти с помощью VirtualAllocEx. После этого я записываю в выделенную память код моего потока ThreadFunc:

static DWORD ThreadFunc(LPVOID lpThreadParameter)
return 0;
>

Завершающий этап — запуск удаленного потока — выполняется с помощью функции CreateRemoteThread. И как справились с этим антивирусы? Да абсолютно аналогично: Avast и Comodo обнаружили «угрозу», а остальные — нет. Хотя антивирус AVG и выдал предупреждение о неизвестной угрозе, но сделал он это только после того, как удаленный поток стартовал. Кроме того, Anti-Virus Free Edition выдавал предупреждения через раз, поэтому я поставил ему +/- за этот файл.

Тест четвертый: глобальные хуки

Дальше я решил проверить, как антивирусы обнаруживают установку глобальных хуков. Глобальный хук — процедура, через которую система пропускает определенный тип событий, например, данные, поступающие от клавиатуры. Установка глобального хука — весьма популярная у зловредов техника, используется она для перехвата данных, вводимых пользователем, поэтому весьма любопытно проверить, смогут ли испытуемые антивирусы помочь обычным юзерам.

Фрагмент кода основного файла:

HMODULE hDll = LoadLibraryW(L"DLL.dll");
PVOID pHookProc = (PVOID)GetProcAddress(hDll, "HookProc");
HHOOK hHook = SetWindowsHookExW(WH_KEYBOARD, (HOOKPROC)pHookProc, hDll, 0);
Фрагмент кода DLL:
EXTERN_C __declspec(dllexport) DWORD HookProc( int code, WPARAM wParam, LPARAM lParam)
return CallNextHookEx(0, code, wParam, lParam);
>

Чтобы перехватывающая функция обрабатывала все события в системе, она должна быть помещена в DLL в виде экспортируемой функции. Поэтому вначале я получаю базовый адрес вспомогательной библиотеки с помощью LoadLibrary, а затем адрес экспортируемой функции HookProc из последней библиотеки. Далее API’шка SetWindowsHookEx устанавливает хук на клавиатуру. Код экспортируемой функции в DLL вполне тривиален. Как на это отреагировали испытываемые антивирусы? Внедрение библиотеки обнаружил только Comodo. Даже Avast, который успешно отбивал «атаки» трех предыдущих поделок, сдал. О других антивирусах я вообще молчу — они также ничего не выдали.

Тест пятый: модификация hosts

Ну и напоследок я решил проверить, как же антивирусы реагируют на модификацию системного файла hosts, который отвечает за привязку определенных доменных имен к IP-адресам. Фрагмент кода, ответственного за правку hosts:

HANDLE hFile = CreateFileW(L"C:\windows\system32\drivers\etc\hosts", GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, 0, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0);
HANDLE hMapping = CreateFileMappingW(hFile, 0, PAGE_READWRITE, 0, 0, 0);
PVOID pHosts = MapViewOfFile(hMapping, FILE_MAP_ALL_ACCESS, 0, 0, 0);
memcpy(pHosts, MalwareHost, lstrlenA(MalwareHost));
memcpy((char*)pHosts + lstrlenA(MalwareHost), EndingBytes, sizeof(EndingBytes));

Код не должен вызывать вопросов — все просто и очевидно. Я решил использовать не связку ReadFile/WriteFile, а маппирование файлов с помощью MapViewOfFile, исключительно для удобства. С этим заданием справились опять же только продукты от Avast и Comodo, что, в общем-то, было уже ожидаемо.

Читайте также: