Лидеры форума

Там же можно увидеть ответ на вопрос, кто каким антивирусом пользуется (см. тут) Из результатов опроса на virusinfo видно следующее: Avira AntiVir - 61 - 18.05% Avast - 36 - 10.65% AVG – 2 - 0.59% BitDefender - 8 - 2.37% Dr.Web - 78 - 23.08% F-Secure - 0 - 0% Ikarus - 1 - 0.30% Kaspersky - 133 - 39.35% McAfee - 6 - 1.78% Microsoft - 1 - 0.30% NOD - 76 - 22.49% Panda - 3 - 0.89% Symantec - 19 - 5.62% VBA32 - 5 - 1.48% Другое (напишите ниже) - 18 - 5.33% Не пользуюсь - 16 - 4.73% Думаю, что это все таки влияет на результат данного теста

Технический анализ Panda Internet Security 2009 Использованные средства и утилиты 1. Microsoft Debugging Tools for Windows 2. Interactive Disassembler Pro (IDA) 3. SaintyCheck tool (http://resplendence.com/sanity) 4. Kernel Detective tool (http://www.softpedia.com/get/System/System-Info/Kernel-Detective.shtml) 5. AVZ (http://z-oleg.com/secur/avz/download.php) 6. Malware (Spyware, Keyloggers, Rootkits) a. Spytech SpyAgent Stealth Edition 6.40.09 (spyware) b. Stealth Keylogger 5.0 (spyware) c. Powered Keylogger 2.3.2.2020 (spyware) d. All In One Keylogger 3.1(new build) e. Spy Lantern Keylogger (http://www.spy-lantern.com/) f. Hacker Defender (rootkit) g. Vanquish (rootkit) h. FU (rootkit) Методы интеграции с ядром операционной системы Scope x86 AMD64 XP Vista File operations File-system filters + FS IRP hooking Mini-filters Registry operations Registry callbacks Network operations NDIS & TDI filters + user-mode patching Behavior analysis (TruPrevent) SSDT patching + User-mode patching User-mode patching Processes activity Notify callbacks + SSDT patching Notify callbacks Threads activity Notify callbacks + SSDT patching Notify callbacks Win32 operations SSDT (Shadow) patching + User-mode patching User-mode patching Перехват kernel-mode (x86) 1. Часть функций в kernel-mode перехватывается путем подмены указателей в таблице SSDT. Адрес функции обработчика находится непосредственно в области кода драйвера. 2. IRP patching выполняется путем подмены адресов обработчиков в IRP_MJ_xxx в структуре DRIVER_OBJECT. Адреса указывают в область кода драйвера, выполняющего перехват. Перехват user-mode Перехват выполняется путем модифицирования начальных инструкций кода перехватываемых функций. В точку входа функции вставляется инструкция jmp dword ptr[addr]. Адрес addr находится в динамически выделяемом блоке памяти с атрибутами страничной защиты Execute/Read/Write. Код в памяти выполняет поиск связанной с обработчиком конкретной функции структуры данных и передает управление централизованному обработчику в DLL. TruPrevent protection technology Модуль поведенческого анализатора TruPrevent реализован с помощью перехватов ряда функций в контексте процессов user-mode (основная часть). На платформах x86 дополнительно используется перехват сервисов SSDT, а также бинарный перехват функций ядра. На платформах AMD64 перехват функций в ядре не используется. Список перехватываемых функций приведен ниже. User-mode patching (x86/AMD64) --- kernel32.dll:CopyFileExW kernel32.dll:CreateFileMappingW kernel32.dll:CreateRemoteThread kernel32.dll:MoveFileWithProgressW kernel32.dll:TerminateProcess kernel32.dll:LoadLibrary kernel32.dll:TerminateProcess kernel32.dll:CreateFileMapping kernel32.dll:MapViewOfFileEx kernel32.dll:CreateRemoteThread --- ntdll.dll:NtClose ntdll.dll:NtCreateFile ntdll.dll:NtCreateKey ntdll.dll:NtDeleteFile ntdll.dll:NtDeleteKey ntdll.dll:NtDeleteValueKey ntdll.dll:NtDuplicateObject ntdll.dll:NtEnumerateKey ntdll.dll:NtEnumerateValueKey ntdll.dll:NtLoadDriver ntdll.dll:NtOpenFile ntdll.dll:NtQueryMultipleValueKey ntdll.dll:NtQueryValueKey ntdll.dll:NtReadFile ntdll.dll:NtSetContextThread ntdll.dll:NtSetInformationFile ntdll.dll:NtSetValueKey ntdll.dll:NtUnloadKey ntdll.dll:NtWriteFile ntdll.dll:NtWriteVirtualMemory ntdll.dll:ZwClose ntdll.dll:ZwCreateFile ntdll.dll:ZwCreateKey ntdll.dll:ZwDeleteFile ntdll.dll:ZwDeleteKey ntdll.dll:ZwDeleteValueKey ntdll.dll:ZwDuplicateObject ntdll.dll:ZwEnumerateKey ntdll.dll:ZwEnumerateValueKey ntdll.dll:ZwLoadDriver ntdll.dll:ZwOpenFile ntdll.dll:ZwQueryMultipleValueKey ntdll.dll:ZwQueryValueKey ntdll.dll:ZwReadFile ntdll.dll:ZwSetContextThread ntdll.dll:ZwSetInformationFile ntdll.dll:ZwSetValueKey ntdll.dll:ZwUnloadKey ntdll.dll:ZwWriteFile ntdll.dll:ZwWriteVirtualMemory --- user32.dll:AttachThreadInput user32.dll:BeginDeferWindowPos user32.dll:CreateAcceleratorTableW user32.dll:DdeConnect user32.dll:DispatchMessageA user32.dll:DispatchMessageW user32.dll:GetAsyncKeyState user32.dll:GetKeyState user32.dll:GetKeyboardState user32.dll:PostMessageA user32.dll:PostMessageW user32.dll:SetClipboardData user32.dll:SetWinEventHook user32.dll:SetWindowsHookExA user32.dll:SetWindowsHookExW user32.dll:TranslateMessage --- advapi32.dll:ChangeServiceConfig2A advapi32.dll:ChangeServiceConfig2W advapi32.dll:ChangeServiceConfigA advapi32.dll:ChangeServiceConfigW advapi32.dll:CloseServiceHandle advapi32.dll:ControlService advapi32.dll:CreateServiceA advapi32.dll:CreateServiceW advapi32.dll:DeleteService advapi32.dll:LsaAddAccountRights advapi32.dll:LsaRemoveAccountRights advapi32.dll:OpenServiceA advapi32.dll:OpenServiceW advapi32.dll:StartServiceA advapi32.dll:StartServiceW advapi32.dll:LsaAddAcconutRights advapi32.dll:LsaRemoveAccountRights --- (Sockets) ws2_32.dll:WSAConnect ws2_32.dll:WSARecv ws2_32.dll:WSARecvFrom ws2_32.dll:WSASend ws2_32.dll:WSASendTo ws2_32.dll:closesocket ws2_32.dll:connect ws2_32.dll:recv ws2_32.dll:recvfrom ws2_32.dll:send ws2_32.dll:sendto SSDT patching (x86 only) NtTerminateProcess NtTerminateThread NtWriteVirtualMemory NtUserCreateWindowEx NtUserDestroyWindow NtUserMessageCall NtUserPostMessage NtUserPostThreadMessage Binary patching (x86 only, kernel mode*) NtOpenProcess NtOpenThread NtCreateThread NtCreateProcessEx NtTerminateProcess NtTerminateThread IRP hooking (XP x86 only) \FileSystem\ntfs[iRP_MJ_CREATE] --> ShlDrv51.sys \FileSystem\ntfs[iRP_MJ_SET_INFORMATION] --> ShlDrv51.sys (All platforms) \Driver\Serenum[iRP_MJ_WRITE ] --> COMFiltr (anti-dealer) Исследование работы поведенческого анализатора TruPrevent Protection Technology Обнаружение Spyware & Keyloggers Методика Тестирование выполняется на чистой системе Windows XP SP2. Перед установкой Spyware выполняется обязательная проверка доступных обновлений сигнатурных баз Panda. После установки обновлений выполняется ряд проверок, для того чтобы убедится в работоспособности on-access сканер и модуля TruPrevent. 1. Доступ к файлу eicar.exe (открытие). Panda IS блокирует доступ и сообщает об этом. 2. Запуск тестового приложения Monitor_TestCases.exe (см. далее). Модуль TruPrevent реагирует на активность приложения и сообщает о выполнении потенциально опасных операций. Тестирование Spyware и выполняется в следующей последовательности: 1. Инсталляция Spyware при включенных модулях on-acces и TruPreventer. Если модуль on-access блокирует инсталляцию, отключаем его на время инсталляции и включаем снова после ее завершения. 2. Запуск notepad.exe. Ввод текста с клавиатуры, копирование через Clipboard, открытие текстовых файлов. 3. Просмотр логов Spyware 4. Посещение сайтов (http и https), требующих авторизации. Ввод login/password. 5. Анализ логов Spyware. Результаты Результаты тестирования приведены в нижеследующей таблице. Результаты, помеченные (*), являются неоднозначными, и дополнительные сведения приведены в таблице «Замечания и комментарии». Test case SpyAgent (6а) Stealth Keylogger (6b) Powered Keylogger (6c) All In One (6d) Spy Lantern (6e) 1. Installation of Spyware Not detected Not detected Not detected* Not detected Detected* 2, 3 Notepad - keystrokes - clipboard - screen Unprotected Unprotected Unprotected Unprotected Unprotected Unprotected n/a* Unprotected Unprotected Unprotected Unprotected Unprotected Unprotected 4, 5. IE browser - web history - traffic data - keystrokes - password - clipboard - screen Blocked Unprotected Unprotected Unprotected Unprotected Unprotected Unprotected n/a Unprotected* Blocked Unprotected Unprotected Unprotected n/a Unprotected Unprotected Unprotected Unprotected Unprotected n/a Unprotected Unprotected Unprotected Unprotected Замечания и комментарии SpyAgent (6a) После инсталляции SpyAgent, процесс TPSrv.exe (Panda IS) аварийно завершается, и все файловые операции блокируются (очень сильно замедляются). Дальнейшее тестирование выполняется после перезагрузки. После перезагрузки также наблюдаются периодические замедления при выполнении файловых операций. Stealth Keylogger (6b) Перехваченные keystrokes дублируются дважды. В чистой системе функция работает нормально. Powered Keylogger (6c) После завершения инсталляции Powered Keylogger процесс Explorer завершается модулем DEP (Data Execution Prevention). Также невозможно активизировать модуль просмотра логов. В чистой системе работает нормально. All In One (6d) Аномалий и конфликтов не обнаружено. Spy Lantern (6e) При включенном on-access модуле обнаруживает инфекцию в ходе инсталляции. Установка выполнялась при отключенном on-access, который был включен после перезагрузки. Web content control module (Panda) отключается (не работает) после перезагрузки. Можно посещать любые сайты, запрещенные политикой фильтра. Обнаружение Rootkits Rootkit Panda IS State Action TruPrevent On-access Extract Launch Hacker Defender (6f) ON ON Detected n/a ON OFF Not detected Not detected OFF ON Detected n/a Vanquish (6g) ON ON Detected n/a ON OFF Not detected Detected OFF ON Detected n/a FU (6h) ON ON Detected n/a ON OFF Not detected Not detected OFF ON Detected n/a Эмулятор поведения spyware (приложение Monitor_TestCases) Данное приложение не является malware и выполняет циклические попытки доступа к важным системным областям данных, модификация которых характерна для malware. Далее приводится список областей, которые TruPrevent блокирует от модификации. Files C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS C:\WINDOWS\SMSS.EXE (создание любого файла) Registry \REGISTRY\CURUSER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGE \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGE \REGISTRY\CURUSER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\DEFAULT_PAGE_URL \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\DEFAULT_PAGE_URL \REGISTRY\CURUSER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\LOCAL PAGE \REGISTRY\CURUSER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\SEARCH PAGE \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\SEARCH PAGE \REGISTRY\CURUSER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\SEARCH BAR \REGISTRY\CURUSER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\DEFAULT_SEARCH_URL \REGISTRY\CURUSER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH\CUSTOMIZESEARCH \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH\CUSTOMIZESEARCH \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH\SEARCHASSISTANT \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\ABOUTURLS\BLANK \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\ABOUTURLS\DESKTOPITEMNAVIGATIONFAILURE \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\ABOUTURLS\NAVIGATIONCANCELED \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\ABOUTURLS\NAVIGATIONFAILURE \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\ABOUTURLS\OFFLINEINFORMATION \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\ABOUTURLS\POSTNOTCACHED \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\SHELL Общие результаты Area Total test cases Protected Free Failed (protected) Files 21 2 18 1 Registry 154 20 134 0 Обнаруженные недостатки, аномалии 1. На платформах Vista x64 достаточно просто обойти поведенческий анализатор в User-mode. Например, достаточно в определенном порядке завершить процессы Panda IS для того чтобы обойти все защитные механизмы. 2. На платформах x86 существует возможность обхода защиты с использованием документированного user-mode API. Например, достаточно просто отключить модуль Web Access Control путем восстановления кода соответствующих функций. 3. Драйвера, входящие в состав продукта не проходят IFS тесты из набора HCT. Совместимость со сторонними продуктами Product x86 AMD64 Kaspersky Internet Security 2009 Частично, Panda on-access protection работает некорректно Trend Micro Internet Security Не совместимы, требуется деинсталляция Panda IS2009 ZoneAlarm Security Suite Требует отключения Panda on-access scanner.

можно просто Царапка