Cum de a ucide fuckav antivirus (FAQ)
În acest articol, popular xakep revista devine clar că convenționale (și nu toate) căile de auto-protecție cu software anti-virus nu ucide. Deși despre Casper, am rupt de mai multe ori viruși, atât de mult încât reinstalării nu ajută.
text ascuns
Crash test de antivirus: triplă penetrare: Nod32, Avast, Avira: Verificați capacitatea lor de a face fata stresului
În rolul următoarelor acte experimentale avast! Antivirus gratuit. După cum sugerează și numele, programul este absolut gratuit, astfel încât a câștigat o mulțime de popularitate în întreaga lume. Principalele sale avantaje sunt protecția împotriva rootkit-urilor, în timp real, avast tehnologie! Scanner inteligent, precum și module de protecție diferite, care dezvoltatorii numesc „scuturi“ (comportament de bord, Shield P2P / IM, etc).
Pentru rechemare nou că a intrat, și modul în care am testat. Deci, avem au fost dezvoltate cinci teste teribile. Unele teste sunt special program scris de mine, celălalt poate fi realizată manual, folosind instrumente standard de Windows. Toate experimentele au fost efectuate în Professional SP3 Windows XP. Pentru fiecare test care trece o scală punct de grad. În final, se calculează media aritmetică a tuturor scorurilor și a vedea care a fost cel mai rezistent.
Acum, un pic despre testele de sine. Din moment ce efectua testele de coliziune, atunci testele trebuie să fie adecvate. Principalul Scopul lor - pentru a dezactiva software-ul anti-virus cât mai mult posibil transparent pentru utilizator. În cazul în care, ca urmare a uneia sau alt test funcțiile de protecție ale „probe de laborator“ noastre opri de lucru, Antivir devine egalitate de puncte de grăsime. În caz contrar, vom urmări ca afacere software-ul cu problema. Dacă a existat cel puțin unele mesaje înainte de moartea sa, acesta este câștigat cinstit cel puțin trei.
Și câteva cuvinte despre fiecare test individual. Primul test va fi prost să încerce să elimine cele mai importante fișiere binare de distribuție antivirus. Dar nu este ușor de a elimina, și elimina la boot, utilizând o specială API-funcții. Al doilea va face același lucru, dar ingenios cripta numele fișierului șters AntiVir au ghicit că vrea să șteargă de pe hard disk nativ. Al treilea test șterge din nou fișierele vitale, dar ascunde acest fapt, deghizarea provocare letală API-funcția de sub cod destul de inofensiv.
A patra și a cincea testare iasă în evidență, deoarece acestea vor fi efectuate folosind instrumente standard de Windows, fără unelte speciale, nu vom scrie. Desigur, dacă doriți totul poate fi pus în aplicare în software-ul. Deci, unul dintre teste nu vor fi pornit prin intermediul politicii de securitate anti-virus, iar a doua va încerca să dezinstalați software-ul fără prea mult zgomot și praf.
Și acum, când toate detaliile sunt prevăzute, testele de impact sunt gata de lansare, și antivirus tremurături cu teama ca un boboc înainte de un examen, pentru a primi în jos la distracție.
test de №1
Primul test se va face prin intermediul unui utilitar special în scris. În linia de comandă, vom da numele complet al fișierului vrem să ștergeți următorul sistem de operare de boot. Programul se va apela un MoveFileEx funcție de sistem; această funcție poate muta fișiere și foldere. Dacă al doilea parametru pentru a trece NULL, iar al treilea - pavilion MOVEFILE_DELAY_UNTIL_REBOOT, calea de fișier care trebuie să fie specificat în primul parametru al funcțiilor noastre minunate, acesta va fi șters definitiv după repornirea sistemului de operare. Codul de program este atât de simplu că va depăși chiar și hacker-ul cel mai neglijent.
Acum, să vedem cum va supraviețui antivirus nostru. Dacă rulați NOD32 si uita-te in Task Manager, puteți vedea două procese: egui.exe și ekrn.exe. În primul rând lansat cu drepturile utilizatorului curent, iar al doilea - cu un sistem de privilegii. Iată ceva ce lor vom încerca să eliminați. Executați utilitarul pentru a elimina prin specificarea fișierele dorite, și reporniți computerul. După repornire, antivirus a lansat cu succes. Pass, iar cinci din moment ce NOD32 este încercarea liniștită și pașnică pentru a preveni propria lor îndepărtarea de pe hard disk-ul utilizatorului mașinii.
Dar am avut încă doi concurenți pentru titlul de cel mai stabil. În cazul avast vom ataca și avastsvc.exe avasrui.exe fișiere, precum și cu Avira AntiVir - avgnt.exe, avguard.exe, avshadow.exe. Noi rula testul și de a face repornirea sistemului. Ambele antivirus ca noi. Și Avast, si Avira masterizat la cinci. Nu există mesaje inutile, forțând utilizatorul să facă o alegere, nici un indiciu al unei defecțiuni. Toți au reușit să „excelent“.
№2 de testare
Al doilea test de impact se repetă aproape complet primul, dar cu o singură diferență - calea care urmează să fie șterse halyard vom transmite criptate. Procedura de criptare nu este destul de simplu. Noi folosim un truc special pentru a păcăli testul antivirus euristice. Acest truc a fost bine descris în articolul precedent, astfel încât să reveniți la el, noi nu vom. Cu excepția a spune că aceasta se bazează pe algoritmul de criptare cheie de generare care nu pot fi analizate motoarele euristice.
Mai departe spre proces. Vom ataca toate aceleași fișiere ca și primul test, pre-criptând numele lor complet. NOD32 din nou rezista eroic asaltul asupra exe'shniki lor. După repornire, încă ne place cu icoana lui minunată în tava de sistem. Dar avast! Free Antivirus si Avira AntiVir Personal, din păcate. Din păcate, au supraviețuit atacului. Toate cele cinci. E dezgustător.
№3 de testare
Al treilea test este, de asemenea, necesar pentru a elimina fișierele de software anti-virus, dar va masca faptul de a încerca să elimine. Pentru a face acest lucru, atunci când apelați funcția am MoveFileEx MOVEFILE_DELAY_UNTIL_REBOOT masca de pavilion, care exprimă elocvent intențiile noastre. Deghizare - sau, mai degrabă, criptarea acestui parametru se va realiza cu ajutorul același truc pentru a genera o cheie care este rezistent la euristica.
test de durabilitate din nou începe cu NOD'a. Rulați utilitarul pentru testare, nu uitați să pre-specificați calea către fișierele care urmează să fie șterse de pe suprafața discului. Noi apăsați butonul reporni sistemul. Ecranul imediat stins și aprins. Sistem boxe peep în liniște. Am fugit o sarcină linie de bun vechi Windows XP. Și acum fericit «Bun venit» la un fundal albastru placut ne spune că de câteva secunde mai târziu aflăm ce sa întâmplat cu NOD32. Și nimic nu sa întâmplat cu el. Acesta funcționează ca un ceas. Dar noi încă sperăm pentru Avast, sau cel puțin pe Avira AntiVir.
Pentru a treia oară Făcând deja operațiuni bine familiarizați, ne așteptăm pentru pornirea sistemului de operare. Și ceea ce vedem, ne aruncă în disperare totală. Amândoi, și avast. si Avira, locul de muncă, ca și cum nimic nu sa întâmplat. Este din nou toate cele cinci mingi câștigate, iar noi nici măcar nu va pălmuit troechki patetic, să nu mai vorbim de egalitate de puncte mari și grăsime? Se pare că laboratorul nostru accident, încet, dar sigur reclasificate la un salon de înfrumusețare pentru pisici. Un fericit - există încă teste.
№4 de testare
Următorul test, vom efectua cu instrumente standard pentru Windows XP Professional. Pentru a face acest lucru, selectați „Run din meniul sistemului principal. „Și introduceți la următoarele: gpedit.msc. Deschideți consola Group Policy. Acest lucru este urmat de un click pe elementul «User Configuration», apoi «administrativ Șabloane», «Sistemul». Apoi, pe dreapta vom vedea «Nu sunt specificate rula aplicații Windows». Această opțiune vă permite să împiedicați anumite programe, bazate pe numele fișierului executabil.
El așteaptă NOD32 la rândul lor.
În politicile de Windows prescriem două fișiere executabile: egui.exe și ekrn.exe. Dacă nu-i eliminat, încercați cel puțin să le împiedice să boot. După apăsarea pe butoanele OK și reporniți calculatorul, așteptați cu răbdare. OS este deja încărcat, dar pictograma antivirus nu este vizibil. Stai un minut, poate e doar frânele. Cu toate acestea, nici un minut sau două anti-virus și nu a început. Victorie? Uită-te la Task Manager. Pentru regretul profund nostru, ekrn.exe proces a fost încă în desfășurare, dar interfața cu utilizatorul este nicăieri și nu miros. grad C. victorii în lanț antivirus întreruptă.
Dar să nu uităm de cealaltă. Avast sa comportat în același mod ca și NOD - începe numai serviciul de sistem, dar programul de aplicație de utilizator nu este pornit, adică, nu există nici o pictogramă în tava de sistem și nu prezintă ferestre. Far stanga si Avira AntiVir. Imaginea este identică cu cele două precedente. Toată lumea de pe trei ori. Stima de sine încet începe să crească, pentru că am reușit încă să rupă crearea industriei anti-virus.
№5 de testare
Al cincilea va încerca să elimine complet software-ul de securitate cu ajutorul installer obișnuit. Vom șterge, astfel încât utilizatorul nu a observat nimic. Aproape toate instrumente moderne pentru implementarea aplicațiilor în sistem, există așa-numitele „modul silențios“, atunci când utilizatorul nu este dat întrebări suplimentare. Dar, cu ajutorul acestui regim și vom efectua sabotaj.
Desigur, anterior înlocuind în aceasta corespunzătoare GUID. Un minut mai târziu, calculatorul va reporni și de anti-virus va fi de peste. antivirus slovac devine merita un F, nu poti asa ca da-te eliminate din sistem!
Pentru anynstalla avast! Free Antivirus utilizează propriul modul. A numit-o mai mult decât ciudat:
C: \ Program Files \ Alwil Software \ Avast5 \ aswRunDll.exe "C: \ Program Files \ Alwil Software \ Avast5 \ Setup \ setiface.dll" RunSetup.
Toate încercările noastre de a rula un mod liniștit nu a reușit. Dar chiar dacă am putea să se ascundă programul fereastra de ștergere, atunci utilizatorul ar vedea.
Pentru o astfel de vigilență devine avast un solid top cinci. Și ce despre Avira AntiVir Personal? Programul de instalare de la acest antivirus este, de asemenea, de casă și nici un mijloc legal eliminând modul ascuns, nu am putut găsi. Asta este, ca tine poate pune și Pyaterochka, dar după Avast mână nu se ridică - și apoi cineva a dat seama cum să înceapă procesul de aninstalla privat? Prin urmare, propunem să o Aviram chetverochku. Pentru, prin urmare, să depună eforturi pentru cel mai bun.
№6 de testare
Da, am fost promis un total de cinci teste. Dar, rezultate prea bune de testare antivirus nu ne-a permis să se odihnească, și am decis să le dea un alt test. Acum vom căuta cheile de registry, responsabil pentru lansarea anti-virus, și să încerce să le elimine.
NOD32, la fel ca toate auto-respectând anti-virus, și-a întins tentaculele în întregul sistem. Ea are propriul driver pentru a monitoriza punctele de acces la sistemul de fișiere și Windows Registry. acestea sunt în mod constant rulează ca un serviciu care oferă un control șofer și modulul UI, care începe atunci când sistemul de operare pornește și este utilizat pentru a comunica cu utilizatorul. Toate aceste componente sunt înregistrate în registrul de sistem. De exemplu, serviciile și șoferii locuiesc aici, în această ramură: HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \. Să încercăm să împiedice începerea ekrn.exe de serviciu, eliminarea ekrn subcheie, care este în ramura de registru de mai sus. Faceți clic pe butonul Del de pe tastatură și ca răspuns vom obține acces sumbră a negat. Cu conducătorul auto este aceeași poveste. Dar noi nu disperați și să încerce să rupă chiar și începe UI-părți. Pentru a face acest lucru, du-te la HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run și găsi opțiunea de acolo, responsabil pentru lansarea egui.exe. Eliminat această opțiune foarte bine și suntem bucuroși să reporniți computerul. După pornirea sistemului de operare pictograma tavă NOD'a nu apare. A fost realizat, deși cu rezerve minore. ESET NOD32 primeste trei.
Urmatoarea pe lista - avast. Toți parametrii importanți pentru pornire sunt situate în aceeași poziție ca și cea a NOD'a. Dar eliminarea cheilor, responsabile pentru service și șofer începe, de asemenea, nu reușește. Și, în afară, UI-side anti-virus, nu am reușit, de asemenea, pentru a dezactiva autorun. Avast primeste cinci.
Teste finalizate. Toate software-ul anti-virus, spre regretul nostru, a arătat el însuși destul de bine. A fost cel mai bun avast! Antivirus gratuit câștigă 4,7 puncte. Pe locul al doilea Avira AntiVir Personal - 4,2 puncte. Intregind lista cu ESET NOD32 rezultat patetica 3.8 puncte. Îmi pare rău, îmi pare rău. Nu contează, data viitoare vom veni cu moduri chiar mai inumane și asigurați-vă că ajunge să le cunoască.
Tabel comparativ al rezultatelor
fișier: /tables/table_1.xls
De ce toată lumea au făcut față atât de bine?
Principalul motiv pentru care primele trei teste toate antivirus a primit cinci, constă în faptul că acestea își protejează fișierele cu aceleași drivere de filtrare ale sistemului de fișiere. Toate încercările de a scrie, șterge sau modifica fișierele binare incluse în antivirus sever reprimate la nivelul nucleului, care împiedică orice șansă de deteriorare a lucra antivirale al treilea inel.
Acesta este același cu al șaselea test. Registrul pentru urmărirea conducătorului auto interzice pur și simplu orice acțiune dăunătoare împotriva cheile care sunt asociate cu munca antivirus. Acest lucru se face, de asemenea, în sistemul de operare cu inel de zero, astfel încât metodele convenționale nu pot strica registru.
Ei bine, ceea ce o afacere bună. Faptul că am reușit să dezinstalezi curat un popular și nu antivirus gratuit și priva Guya un cuplu de alte foarte fericit. În final, fiecare dintre aceste produse în spatele mai multor ani de evoluție, și o echipă mare de dezvoltatori, mai degrabă, provenienta de clasa care a lucrat neobosit pentru protecția lor. Faptul că am reușit (apărarea) a subminând, și chiar și un astfel de mod simplu, poate fi considerat un rezultat bun. Dezvoltatorii antivirus este ceva să se gândească și ce să îmbunătățească în următoarele versiuni ale produselor sale.
scripturi yuzayte scrise în AutoIt prin ea, te poate ucide procesul în managerul de activități și el nu a palitsya
software-ul antivirus pe el am scris un keylogger este trimiterea de e-mail și unitatea de afișare poate fi, de asemenea, face Claudia și mouse-ul de blocare
Adăugat după 6 minute
text ascuns
#NoTrayIcon; pe pictograma tavă
$ RW2 = RegWrite ( "DisableTaskMgr", "REG_DWORD", "1", "\ CurrentVersion Politici \ System \ HKEY_CURRENT_USER \ Software \ Microsoft \ Windows"); Off sarcini de dispecer
Run (@ComSpec "/ C" 'Taskkill / f / im explorer.exe', "", @SW_HIDE), îndepărtarea explorer.exe sarcină dispecer
care face parte din ea
Antivir fi, de asemenea, nici unul, etc.