Почему доктор веб не участвует в тестах антивирусов

Обновлено: 05.07.2024

Продолжаем тему любительских тестов антивирусов на реальных угрозах. И пока вы не ломанулись в раздел комментариев, объяснять почему я олень, расскажу.

Я хотел сравнить бесплатную версию NANO антивируса с другим российским продуктом. Проводить тест в паре с Kaspersky Free это все равно, что устраивать избиение младенца. Против Dr.Web у NANO антивируса больше шансов на победу, сохраняется хоть какая-то интрига. Но вот незадача, у Dr.Web нет бесплатной версии полноценного антивируса (а им пора уже взять пример с Касперского). Поэтому я выбрал комплекс Dr.Web Security Space 11, на него хотя бы обзор есть на этом сайте.

Понятно, что сравнить бесплатный классический антивирус с полноценным платным комплексом некорректно. Но в данном тестировании я проверяю только качество сигнатурно-эвристического детекта продуктов при сканировании по требованию, без запуска угроз. Поэтому до проактивной защиты и файервола дело не дойдет, они есть у Dr.Web Security Space 11 и отсутствуют у NANO антивируса даже версии Pro.

В комплексном тесте с такой разницей в весовой категории нано-защитник был бы просто раздавлен. Но условия у нас другие, и шансы у продуктов примерно равны. Конечно, Dr.Web всё равно является фаворитом в этой паре. Антивирусная компания с многолетней историей и кучей фанатов на территории СНГ. Правда за её пределами паучья сеть обрывается, там водятся хищники покрупнее, но по сравнению с NANO Security Доктор просто монстр.

NANO Security существует вообще непонятно на какие деньги. Разработчики долго и упорно шли к релизу своей первой версии антивируса, но без рекламы и агрессивного пиара (снова берем пример с Касперского) их продукт рискует оказаться в забвении раньше времени.

Тестовые образцы

Текстовой воды налил, переходим к мясу. Для тестирования я снова скачал 500 вредоносных файлов (не тех, что использовались в сравнении Panda с Zillya, свежих).

Набор зверья включает в себя 394 исполняемых файла, 76 DOC и 30 PDF документов. Также как и в прошлый раз, я скачивал образцы, определяемые на Virustotal менее чем 60% антивирусных движков, и имеющие вредоносное поведение. После загрузки последних объектов они также сутки «отстаивались» у меня на жестком диске.

Перед началом основной части сравнительного тестирования я проверил мини-коллекцию вирусов бесплатным многодвижковым антивирусным сканером Zemana AntiMalware. Турецкая софтина посчитала вредоносными 237 объектов.

При втором (контрольном) сканировании больше ничего не нашлось.

В папке осталось 263 файла.

Значит процент обнаружения Zemana AntiMalware составил 47,4%. Ориентир готов, переходим к основным продуктам.

Сравнительный тест антивирусов

Первым для эксперимента я взял NANO антивирус, поскольку после теста Qihoo 360 Total Security Essential с использованием сканера Dr.Web CureIt подозревал, что процедуры с Доктором могут затянуться.

В настройках NANO, там где это возможно, я задал удаление объектов при сканировании, чтобы процесс лечения не вмешивался в тестирование и не усложнял подсчет результатов.

Все остальные параметры оставлены по умолчанию.

Антивирусные базы были обновлены и актуальны.

Распаковка архива с вирусами проводилась, как обычно, при отключенной резидентной защите. Клик правкой кнопкой мыши на папке с тестовыми образцами – «Проверить NANO Антивирусом» - понеслась.

Первое сканирование заняло примерно 4 с половиной минуты, было обнаружено 219 вредоносных объектов (218 удалено и 1 «изолирован», он все равно улетел в карантин, я проверил).

Второе сканирование результат не изменило.

В подробном отчете видно, что NANO антивирус не смог проверить 3 объекта (действие «пропущен») из-за защиты паролем, которого я, разумеется, не знаю.

В папке остается 281 объект.

Значит детект бесплатного NANO антивируса составил 43,8%.

Dr.Web Security Space

Тест продукта-фаворита проходил по той же схеме. В настройках сканирования Dr.Web Security Space я заменил лечение на отправку в карантин.

Это же Доктор, его хлебом не корми, дай кого-нибудь полечить. Все остальные настройки оставлены по умолчанию. Антивирусные модули и базы были обновлены до последней версии.

Отключаем резидентную защиту «Spider Guard», распаковываем архив с вирусами, запускаем контекстное сканирование, ждем.

В ходе проверки, длившейся примерно 23 минуты, было обнаружено 215 вредоносных объектов.

По умолчанию сканер Dr.Web Security Space не обрабатывает угрозы автоматически, поэтому жмем кнопочку «обезвредить» и ждем еще, сколько бы вы думали? Двадцать две минуты, 22!

Такое ощущение, что антивирус отправляет запрос в вирлаб, из которого вирусный аналитик по удаленному доступу вручную удаляет угрозы у каждого пользователя в порядке очереди. Другого объяснения я тут не вижу, как можно обрабатывать угрозы чуть ли не полчаса?

Через 22 минуты моего непрерывного отборного мата Dr.Web Security Space наконец-то справился со столь сложной задачей по перемещению объектов в карантин.

Казалось бы, вот оно счастье. Но не тут-то было. Методика тестирования предполагает проведение повторного контрольного сканирования. Запускаем его и ждем. 19 минут. Оптимизация? Какая оптимизация? Кому нужна оптимизация при повторном сканировании объектов? Доктор Веб стоит сменить логотип с пауком на более подходящий.

Не знаю, что закончилось раньше, проверка у Dr.Web Security Space или истерика у меня. Тем не менее, после второго сканирования новых угроз антивирус не нашел.

В папке остается 285 файлов.

А значит детект Dr.Web Security Space в этом тесте составил 43%.

Выводы по тесту антивирусов

NANO Free и Dr.Web Security Space показали почти равный результат, немного не дотягивающий до цели в виде Zemana AntiMalware. Это не страшно и вполне ожидаемо, поскольку продукт Zemana многодвижковый (каким образом Panda в прошлом тесте его превзошла, я не знаю).

В процентном соотношении NANO антивирус чуть-чуть опередил Доктора - на 0,8%. Была бы база тестовых образцов больше, мог быть бы больше и разрыв. Но даже на скачку пяти ста файлов вручную и по одному уходит довольно много времени, поэтому объем вирусной коллекции я увеличивать пока не буду.

Но вернемся к результатам тестирования. Несмотря на небольшую разницу в качестве детекта наших антивирусов, разница в ощущении и впечатлении от продуктов просто огромна. На то, что NANO Free потребовалось в сумме 6 минут, у Dr.Web Security Space ушел один час и 4 минуты. Доктор меня просто выбесил, как можно быть таким тормозом, причем относительно популярным тормозом.

NANO антивирус напротив, порадовал меня тем, что не уронил планку качества за то время, которое прошло с момента теста NANO vs Avira. Брянский антивирус по прежнему считаю перспективным продуктом, движок шустрый, детект хороший. Не хватает только нормальной проактивки и пиара конечно. Надеюсь, что это лишь вопрос времени.

P.S. По какой-то странной традиции я заканчиваю обзоры продуктов Dr.Web дурацкими стишками. В этом году новая версия Dr.Web Security Space не выходила, и обзора соответственно не было. Тем не менее, ловите бонусный стишок к тесту. Не принимайте его близко к сердцу, это всего лишь мой колхозный юмор.

Схлестнулся Доктор в битве с Нано
И сэмплов разорвал немало,
Но оказалось, что в процентах
Он отстает от конкурентов.

Уж не поэтому от тестов
Он отказался повсеместно?
Увидев эти результаты,
К Касперскому уйдут фанаты.

Я никогда не пользовался Dr. Web. Я понятия не имею, как он устроен. Но это не помешало мне написать для него ряд автотестов (и лишь лень не позволила мне написать ещё сотню других):

Тест на установку Dr. Web;
Тест на ограничение доступа к съемным устройствам (флешкам);
Тест на разграничение доступа к каталогу между программами;
Тест на разграничение доступа к каталогу между пользователями системы (родительский контроль).

Такие и многие другие тесты можно клепать как горячие пирожки, и не только применительно к Dr. Web, и не только применительно к антивирусам. В этой статье я расскажу, как это сделать.

Для тестов нам понадобится виртуалка с Windows на борту. Я подготовил её вручную, выполнив на ней следующие манипуляции:

Собственно, установил Windows 10 Pro x64;
Во время установки создал основного пользователя "testo" в паролем "1111";
Включил автологин для этого пользователя;

Для автоматизации тестов я буду использовать платформу Testo. Что это такое и как этим пользоваться можно почитать здесь. Нам же сейчас требуется импортировать готовую виртуалку в автотесты. Сделать это очень просто:

Здесь предполагается, что /path/to/win10.qcow2 — это путь к диску той виртуалки, которую я подготовил вручную. На этом подготовка заканчивается, и начинается экшен.

Для начала надо решить вопрос с переносом дистрибутива Dr. Web на виртуальную машину. Сделать это можно (например) с помощью флешки:

Всё, что нам надо сделать — это положить установщик Dr. Web в папочку $ (точное значение этого параметра мы будем задавать при запуске testo ). А Testo само позаботится о том, чтобы этот инсталлятор оказался на флешке.

Теперь можем приступить, собственно, к написанию теста. Пока что начнём тест с простых вещей: включим виртуалку (после создания она будет выключена), дождёмся появления рабочего стола, включим флешку и откроем её содержимое через проводник:

Можно, конечно, запустить инсталлятор прямо отсюда, из самой флешки. Но мы лучше сделаем всё по-честному — мы скопируем инсталлятор на рабочий стол и запустим инсталлятор оттуда. Как же нам скопировать файл? А как бы это сделал человек?

Скриншот, на котором ещё происходит копирование файла

Всё, копирование успешно завершено! Теперь можно закрыть окно с флешкой и вытащить её:

Теперь, когда инсталлятор оказался на рабочем столе, нам нужно дважды кликнуть на него чтобы запустить процесс установки. А сама установка сводится к простому прокликиванию кнопок и галочек и не представляет большого интереса:

Завершаем наш тест перезагрузкой. И в конце не забудем проверить, что после перезагрузки на рабочем столе появилась иконка с Dr. Web:

Отличная работа! Мы автоматизировали установку антивируса Dr. Web! Давайте немного передохнём и посмотрим, как это выглядит в динамике:

Переходим к тестированию фич.

Первая фича по списку — ограничение доступа к флешкам. Для этого спланируем довольно прямолинейный тест:

Попробуем вставить флешку и создать там пустой файл — должно получиться. Вытащим флешку;
Включим блокировку съемных устройств в Dr. Web Security Center;
Ещё раз вставим флешку и попробуем удалить созданный файл. Действие должно быть заблокировано.

Создадим себе новую флешку, вставим её в Windows и попробуем создать папку. Что может быть проще?

Создаём новый текстовый файл через контекстное меню проводника:

Отключаем флешку, делаем это безопасно:

Теперь мы убедились, что с флешкой работать можно, а значит можно приступать к её блокировке в центре безопасности Dr. Web. Для этого сначала надо открыть центр безопасности:

Можем заметить, что для открытия любого приложения в Windows нужно выполнить фактически одинаковые действия (кликнуть на строку поиска, дождаться появления окна с популярными приложениями, вбить имя интересующего приложения, дождаться, когда оно появится в списке и, наконец, нажать Enter). Поэтому эту группу действий можно выделить в макрос open_app , в который в качестве параметра будет передаваться имя открываемого приложения:

Этот макрос нам ещё пригодится.

Первое, что мы сделаем, открыв центр безопасности Dr. Web — включим возможность вносить изменения:

Теперь немного покликаем по менюшкам и зайдем в меню "Configure device access rules". В этом меню поставим галочку в пункте "Block removable media".

Попробуем открыть флешку теперь:

Вот так потихоньку-полегоньку мы и написали первый тест с тестированием вполне осязаемой фичи в Dr. Web. Настало время передохнуть и помедитировать, глядя на результаты наших трудов:

Основная идея этого тесткейса — проверить работу Dr. Web при ограничении доступа к определенной папке. Если конкретно, то необходимо защитить папку от каких-либо изменений, но добавить исключение для какой-нибудь сторонней программы. Собственно, сам тест выглядит следующим образом:

Установим на ОС стороннюю программу, для которой чуть позже добавим исключение при доступе к защищаемой папке. Сегодня сторонняя программа дня — файловый менеджер FreeCommander;
Создаем папку с файликом, которую будем защищать всеми силами;
Откроем центр безопасности Dr. Web и включим там защиту этой папки;
Настроим исключение для FreeCommander;
Попробуем удалить файл из защищаемой папки обычным способом (через проводник Windows). Не должно получиться;
Попробуем удалить файлик через FreeCommander. Должно получиться.

Ух, много работы. Быстрее начнём — быстрее закончим.

Пункт первый, установка FreeCommander не сильно отличается от установки Dr.Web. Обычная рутина: вставили флешку, запустили инсталлятор и так далее. Пропустим это и перейдём сразу к интересному.

Если всё-таки интересно, как установить FreeCommander

Начнём с простого: создадим флешку, в которую поместим дистрибутив FreeCommander, а затем в тесте вставим флешку в ОС и откроем её:

Далее несколько не кликов чтобы запустить установку:

Установка не очень интересная, просто кликаем везде "Далее", а в конце не забываем отключить галочки с просмотром ReadMe и немедленным запуском FreeCommander

Заканчиваем тест, закрывая все окна и вытаскивая флешку

Для работы с Dr. Web создадим новый тест dr_web_restrict_program , который будет полагаться на результат работы предыдущего теста win10_install_freecommander .

Начнём тест с создания папки Protected на рабочем столе:

Заходим в папку Protected и создаём там файл my_file.txt , который будет играть роль защищаемого файла:

Ох, надо было бы тоже оформить это в виде макроса, ну да ладно .

Отлично, теперь надо включить защиту папки. Идём знакомой дорожкой и открываем Dr. Web, не забываем включить режим изменений. После чего переходим в меню "Data Loss Prevention".

Немного поработаем мышкой и добавим нашу папку Protected в список защищаемых:

Скриншот с мастером добавления защищаемой папки

Ну а теперь надо настроить исключение по доступу к папке для FreeCommander. Ещё немного работы мышкой:

Теперь аккуратно закрываем все окна и пробуем удалить файл "my_file.txt" стандартным способом:

Но ничего не получилось — значит Dr. Web действительно отработал! Половина теста позади, но нам ещё надо проверить, что будет работать исключение для FreeCommander. Для этого открываем FreeCommander и переходим в папку Protected:

Ну и попробуем удалить файл my_file.txt:

Исключение для FreeCommander работает!

Отличная работа! Большой и сложный тесткейс — и всё автоматизировано. Немного расслабона:

Этот последний на сегодня тесткейс мы построим следующим образом:

Создадим нового пользователя MySuperUser;
Залогинимся под этим пользователем;
Создадим файл my_file.txt от имени нового пользователя;
Откроем центр безопасности Dr. Web и включим родительский контроль для этого файла;
В родительском контроле ограничим права пользователя MySuperUser на им же созданный файл;
Попробуем прочитать и удалить файл my_file.txt от имени MySuperUser и посмотрим на результат.

Я не буду приводить здесь сценарий теста. Он строится по тому же принципу, что и предыдущие тесты: активно работаем мышкой и клавиатурой. При этом нам не важно, что мы автоматизируем — хоть Dr.Web, хоть создание нового пользователя в Windows. Но давайте всё же посмотрим, как будем выглядеть прогон такого теста:

→ Исходники всех тестов Вы можете посмотреть здесь

Dr. Web оказался неплохой тренировкой, но вдохновение для дальнейших подвигов я хотел бы почерпнуть из Ваших пожеланий. Пишите в комментариях свои предложения о том, какие автотесты Вы бы хотели увидеть в будущем. В следующей статье я попробую их автоматизировать, посмотрим, что из этого получится.

И в чем же проявляется моя корысть как сугубо частного лица?

drweb ?
Да, наверное им так удобнее.
Пользователям ?
Нет - им наоборот, такая унификация совсем не нужна, зачем им к примеру в дистрибутиве для Российского рынка, куча ненужных языковых ресурсов которые увеличивают вес дистрибутива - незачем.
Обратная ситуация с какими нибудь китайцами и тд.
Почему бы не сделать к примеру языковые паки, как это уже давно все делают.
Нужен язык такой-то, скачай, а держать/качать балласт - зачем ?
Потому что drweb так удобнее ? А может им пересмотреть свой подход к делу и клиенту, или парадигма старая - пипл все равно схавает ?

Или вот еще интересная вещь, кто в курсе - а почему практически во всех антивирусных тестах, drweb практически никогда не участвует ?

Для меня более важно, "Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о продлении лицензии Федеральной службы безопасности Российской Федерации на осуществление работ, связанных с использованием сведений, составляющих государственную тайну, до июля 2018 года."

Там же: "Первую лицензию ФСБ России компания «Доктор Веб» получила еще в 2005 году. Текущая лицензия продлена 19 июля 2013 года Центром по лицензированию, сертификации и защите государственной тайны ФСБ России при условии соблюдения требований законодательных и иных нормативных актов по обеспечению защиты сведений, составляющих государственную тайну. Предоставление «Доктор Веб» новой лицензии связано с истечением срока действия предыдущего документа.

Помимо этого компания «Доктор Веб» имеет лицензию ФСБ России на разработку и (или) производство средств защиты конфиденциальной информации, лицензию Министерства обороны Российской Федерации на деятельность в области создания средств защиты информации, а также лицензии Федеральной службы по техническому и экспортному контролю России."

Вам ответил другой человек, который нашел время. Но Вам, похоже, нужно не "ехать", а "шашечки".

Дронго

Телефоны:
323-62-30
323-62-31
323-62-32

IGK

Уже несколько лет, как Dr.Web исчез из списков участников антивирусных тестов, например AV-Comparatives. Это настораживает и не внушает доверия к продукту.

borec_za_istinu

Они это объясняют тем, что их не устраивает методика тестирования, якобы дающая недостоверные результаты. Дескать, на самом деле мы лучше, чем выглядим.

С Луны свалился

Какой такой статус?

Но загрузочный Dr.Web CureIt, иногда неплохо помогает в нагрузку к установленному антивирусу.

DoctorW

Мы не участвуем в этих тестах - не считаем их полезными для выбора антивирусной защиты. Поэтому нас там нет. Проходить по баллам в любых тестах - не значит быть качественной антивирусной защитой. Каждый сомневающийся пользователь может попробовать нашу бесплатную демо-версию и лично убедиться в качестве нашего продукта. Каждый может просканировать свой компьютер нашим бесплатным сканером Dr.Web CureIt!, не удаляя другой антивирус, который он использует. И посмотреть, не найдет ли Dr.Web вирусы, который не нашел другой продукт. Это ведь тоже повод для сравнения - только напрямую, без посредников, без денежных взносов, которые предлагают внести организаторы различных "независимых" тестов. К слову сказать, миллионы людей в мире используют CureIt!, и их ничуть не смущает то, что в каких-то тестах нас нет.

DoctorW

Но загрузочный Dr.Web CureIt, иногда неплохо помогает в нагрузку к установленному антивирусу.

Спасибо за Ваш отзыв.

DoctorW

WannaCry включен в программу: обновлен курс «Доктор Веб» по защите от шифровальщиков

Компания «Доктор Веб» представляет обновленный обучающий курс «Защита рабочих станций и файловых серверов Windows от действий программ-шифровальщиков» (DWCERT-070-6). Материалы были обновлены в связи с массовым распространением троянца WannaCry в мае 2017 года.

Наши специалисты тщательно проанализировали причины и последствия массового заражения шифровальщиком Trojan.Encoder.11432, известным на весь мир как WannaCry. Это позволило выработать дополнительные рекомендации по усилению мер защиты от энкодеров: материалы курса были расширены, снабжены дополнительными описаниями настроек Dr.Web и наглядными иллюстрациями из серии «так делать не надо».

Курс предназначен для системных администраторов и всех желающих повысить уровень своих знаний – и безопасности.

За сдачу экзамена по курсу будут начислены 100 баллов и 10 Dr.Web-ок, которые традиционно можно использовать в ежемесячных аукционах или обменять на сертификаты на покупку антивирусов Dr.Web со скидкой.

DoctorW

Опасный Android-банкер получает контроль над мобильными устройствами

Вирусные аналитики компании «Доктор Веб» исследовали многофункционального банковского троянца Android.BankBot.211.origin, который вынуждает пользователей предоставить ему доступ к специальным возможностям (Accessibility Service). С их помощью вредоносная программа управляет мобильными устройствами и крадет конфиденциальную информацию клиентов кредитно-финансовых организаций. В самом начале наблюдения троянец атаковал только жителей Турции, однако вскоре список его целей расширился, и теперь он угрожает пользователям десятков стран.

Android.BankBot.211.origin распространяется под видом безобидных приложений, например, проигрывателя Adobe Flash Player. После того как пользователь устанавливает и запускает троянца, банкер пытается получить доступ к специальным возможностям (Accessibility Service). Для этого Android.BankBot.211.origin показывает окно с запросом, которое при каждом его закрытии появляется вновь и не дает работать с устройством.

DoctorW Предустановленный на Android-устройствах троянец заражает процессы приложений и скачивает вредоносные модули

Вирусные аналитики компании «Доктор Веб» обнаружили вредоносную программу, встроенную в прошивку нескольких мобильных устройств под управлением ОС Android. Троянец, получивший имя Android.Triada.231, внедрен в одну из системных библиотек. Он проникает в процессы всех работающих приложений и способен незаметно скачивать и запускать дополнительные модули.

Троянцы семейства Android.Triada внедряются в системный процесс компонента ОС Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря заражению Zygote они встраиваются в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое. После этого они незаметно скачивают и запускают различные вредоносные модули.

DoctorW

О новых правилах блокировки пиратских лицензий Dr.Web

Компания «Доктор Веб» сообщает о начале действия новых правил блокировки и замены пиратских ключевых файлов в отношении продуктов Dr.Web.

По новым правилам лицензии без Центра Управления Dr.Web Enterprise Security Suite, признанные пиратскими, будут блокироваться незамедлительно.

Если пользователь – юридическое лицо, то восстановление лицензии осуществляется через соответствующий тикет в трекере технической поддержки, ссылка на который высылается по электронной почте на адрес регистрации серийного номера немедленно после блокировки лицензии.

IGK

Читайте также: