Перейти к содержанию

Лидеры форума


Popular Content

Showing content with the highest reputation on 11/30/14 in Сообщения

  1. 5 points
    Вот как позиционируют свой продукт сами разработчики: _http://inform.kz/kaz/article/2612519 _http://tengrinews.kz/internet/pervyiy-kazahstanskiy-antivirus-ustanovili-12-tyisyach-chelovek-241051/ Выделение моё. Много уже было написано другими и даже выложен видео обзор на YouTube.com, но, тем не менее, я решил протестировать программу самостоятельно и обобщить ряд сведений. Дата тестирования 27.11.2014, название продукта AWS Core X5. Сначала с официального сайта скачивается загрузчик антивируса AWS_Core_Downloader.rar (внутри файл AWS_Core_Downloader.exe), который загружает файлы (в зависимости от выбора пользователя): _http://aws-core.kz/aws-downloads/AWSCoreUltimate.exe 338 МБ (354 536 234 байт) (дата обновления на сервере - 30 Oct 2014) _http://aws-core.kz/aws-downloads/AWSCoreAntivirus.exe 334 МБ (350 592 220 байт) (дата обновления на сервере - 30 Sep 2014) _http://aws-core.kz/aws-downloads/AWSCoreFree.exe 324 МБ (339 547 236 байт) (дата обновления на сервере - 20 Feb 2014) Загрузка файлов происходит по протоколу http (небезопасное соединение) Загрузчик файлов упакован в rar архив, при том что сам распакованный имеет размер 71 680 байт (нужно упаковывать в zip архив или поставлять загрузчик не упакованным). Для работы загрузчика требуется .Net Framework, но он будет скачан и установлен только установщиком антивируса. В случае отсутствия у пользователя установленного .Net Framework программа завершается с ошибкой и не предупреждает пользователя о необходимости установки .Net Framework. После завершения скачивания антивируса загрузчик не предупреждает об удачной загрузке файла. Загрузчик и установщик не имеют ЭЦП (Электронной Цифровой Подписи). Далее разбирается файл AWSCoreUltimate.exe как самая полная версия антивируса. При установки антивируса производится установка .Net Framework и Visual C++ RTL без предупреждения пользователя, хотя для работы загрузчика уже требовался .Net Framework и он должен быть установлен. Неизвестно зачем производится установка .Net Framework 3.0 и 3.5, так как загрузчик и антивирус рассчитаны на .Net Framework 2.0. .Net Framework 3.5 поставляется в виде веб установщика. Директория \WorkScape Technologies\AWS Core X5\Components\ содержащая установщики .Net Framework и Visual C++ RTL имеет размер 249 МБ (262 050 403 байт) и после установки не удаляется. Файл \WorkScape Technologies\AWS Core X5\Components\VCR_x86_x64.exe является кустарной сборкой Visual C++ RTL и не имеет ЭЦП Microsoft. Dll и exe файлы находящиеся в директории \WorkScape Technologies\AWS Core X5\ не подписаны ЭЦП. Пояснение по поводу ЭЦП: так как на официальном сайте программы не указаны хэши загрузочных и установочных файлов и эти файлы не подписаны ЭЦП затруднено определение того устанавливает ли пользователь оригинальный дистрибутив ПО. Может произойти подмена файлов во время загрузки программы или её хранения. После установки антивируса база сигнатур обновлена по 14.10.2013, несмотря на то что программа загружалась и устанавливалась 27.11.2014 (была загружена последняя версия с сайта производителя). Противодействие клавиатурным перехватчикам: Во время тестирования была запушена программа автоматического переключения клавиатуры Punto Switcher, но антивирус не выдавал предупреждений о перехвате нажатий клавиш (в системе ZOND процесс Punto имел статус «Неизвестное»). Межсетевой экран и антируткит: Программа не использует драйверы или NDIS фильтры. Программа не противодействует руткитам (AVZ Guard запускается и мешает работе антивируса, хотя программа должна была блокировать драйвер AVZ Guard ещё на стадии установки). В программе отсутствует межсетевой экран, хотя есть монитор сетевой активности. Самозащита антивируса: Самозащита программы не срабатывает если в консоли выполнить команду: taskkill /f /t /im AWS.exeУспешно: Процесс, с идентификатором 1220, дочерний процесса 1816, был завершен.Успешно: Процесс, с идентификатором 352, дочерний процесса 1816, был завершен.Успешно: Процесс, с идентификатором 1108, дочерний процесса 1816, был завершен.Успешно: Процесс, с идентификатором 1816, дочерний процесса 1320, был завершен. Самозащита файлов программы находящихся в директории \WorkScape Technologies\AWS Core X5\ основана на установки NTFS прав полного запрета для текущего пользователя. Причем при завершении процессов командой taskkill антивирус перестаёт запускаться, так как у пользователя нет прав на доступ к директории (но после перезагрузки системы он запускается). Для отключения автозапуска антивируса после программы taskkill необходимо выполнить в консоли следующие команды: cacls "%ProgramFiles%\WorkScape Technologies\AWS Core X5" /e /r %username%del /f /q "%ProgramFiles%\WorkScape Technologies\AWS Core X5\AWS.exe" Ключ HKLM\SOFTWARE\WorkScape хранит настройки антивируса и является не защищённым от изменений или удаления. В случае удаления ключа во время работы антивируса он завершается с ошибкой и больше не запускается, при этом процесс Clamupd.exe продолжает работу. Если же антивирус во время удаления ключа был выключен, то он больше не запустится. Антивирус добавляет запрет на изменение значений в ключе реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ для текущего пользователя, поэтому без дополнительных программ из консоли не получается убрать параметр автозапуска антивируса из автозагрузки (из regedit или сторонних программ это можно сделать). Программа производит постоянный опрос ключей: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ (защита автозапуска) HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ (защита автозапуска) HKCU\Software\Microsoft\Internet Explorer\PhishingFilter\ (защита защиты от фишинга IE, права на запись в этот ключ у пользователя есть) HKLM\System\CurrentControlSet\Control\ComputerName\ActiveComputerName\ (постоянные обращения к имени компьютера, но на изменение ключа программа не реагирует) Постоянный опрос директорий и файлов: \WorkScape Technologies\AWS Core X5\ %UserProfile%\Шаблоны\awslic.tmp (по-видимому файл с лицензией) Реализация проактивной защиты: Программа следит за изменениями на диске используя функция NotifyChangeDirectory для всего диска %SystemDrive%, в случае обнаружения изменений задает вопрос пользователю и если он не успеет ответить за 15 секунд удаляет подозрительный файл. Проверена реакция на размещение файлов с расширением .sys в любых директориях %SystemDrive%. Программа следит за списком процессов и при обнаружение нового процесса спрашивает у пользователя что с ним делать. При этом процесс во время выбора пользователя продолжает работать, хотя должен был быть остановлен антивирусом до принятия решения пользователем. Антивирусные базы: Расположена по адресу \WorkScape Technologies\AWS Core X5\db\ 9 файлов с именами Base1400.adm - Base3000.adm имеют размер 0 байт. Файлы Base200.adm, Base400.adm, Base600.adm, Base800.adm, Base1000.adm, Base1200.adm, BaseBC.adm содержат неизвестные данные. Например, содержимое файла Base400.adm: 211:little boy :]]]]I know about your little problem :Demail: satishraj2001@yahoo.comUnpirvodidaccreditmentc:\winter\Set\Bottom\Up\value\wild\industry\Support\nearcare.pdbprogram: black.holeаUPX2©\No Hack\Delphi my‹PHQ!00:?e$l7е°oтЙяЁc:\myapp.exe1.2.840.113549.1.9.6f:\CB\ARM_Sustaining\BuildResults\bin\Win32\Release\AdobeARMHelper.pdb\zsiilitzcpioq.exe\parent.txtf:\dd\vctools\vc7libs\ship\atlmfc\src\mfc\auxdata.cppD:\miror.comYapp.ExE\@.zylmix 18 файлов an0AV0.adm - an0AVf.adm, BaseWR.adm и cldBase.adm содержат базы сигнатур в виде хэшей. Размер баз 1,19 МБ (1 250 888 байт). Хэши хранятся в текстовом, а не двоичном виде. Базы Clam Antivirus содержатся в файлах daily.cld, main.cvd и bytecode.cvd, а также в поддиректориях вида clamav-da306eb62c60ed625bb667841bbab818.00000114.clamtmp. Размер баз Clam Antivirus 440 МБ (461 392 869 байт) Общий размер антивирусных баз 441 МБ (462 664 957 байт) Метод обнаружения PUA: Защита срабатывает на программу Total Uninstall версии 5.0.1, хотя данная программа не является шпионским или вредоносным ПО. Тип угрозы: PUA.Spyware.XPCSpyPro Дополнительные особенности: Программа не имеет средств централизованного управления (не подходит для среднего и крупного бизнеса, затруднено использование на малых предприятиях). Функция "Создания диска восстановления системы" запускает программу ntbackup.exe из поставки Windows и не имеет своей программы создания аварийных дисков. Функция "Поиск и исправления неисправностей реестра" находит в ключе реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значения Shell и Userinit неправильными (на чистой системе). В первом случае программа изменила регистр букв, во втором был изменен путь к Userinit на значение без запятой в конце.
This leaderboard is set to Москва/GMT+03:00
×