MALWAREdeeonis deeonis@gmail.comÝÊÑÊËÞÇÈÂÍÛÉÑÏÎÑÎÁ ÂÛÍÎÑÀÊÀÑÏÅÐÑÊÎÃÎINSIDEÊðàø-òåñòîòå÷åñòâåííûõàíòèâèðóñîâÑóðîâàÿ ïðîâåðêà ãðàíäîâ AV-èíäóñòðèè:ïîáåäèâøèõ íåò!Как обычно тестируют антивирусы? Прогоняют их на специальнозаготовленных зловредах, пытаются всячески обойти эвристику,выбраться из песочницы... Таких тестов полно в Сети, но в этот раз всебудет иначе. Мы будем проводить краш-тесты. Мы будем грубо ломатьи выводить из строя самые крутые аверские поделки и в итоге узнаем,кто из них оказался самым крепким.Сегодняшнее тестирование будут проходитьдве антивирусные программы. Первыйиспытуемый — Kaspersky CRYSTAL. ЭтоПО разрабатывалось специально для комплекснойзащиты пользовательского компьютера.В Кристале, помимо классическогосканера и резидентного проактивногомодуля, есть также средства родительскогоконтроля, шифрование данных, менеджерпаролей, которые для нас особой ценности078сегодня не представляют. Вторым кандидатомна уничтожение будет Dr.Web SecuritySpace Pro. Его функционал чуть беднее. Нетменеджера паролей, виртуальной клавиатурыи прочих полезных и не очень фич.Антивирус предназначен для комплексногопротиводействия интернет-угрозам в сочетаниис дополнительной защитой от сетевыхатак благодаря встроенному брендмауэру.Оба антивируса очень популярны в России,а Kaspersky еще и входит в мировую пятеркусамых продаваемых программ для защитыот зловредов.ПРИНЦИП ТЕСТИРОВАНИЯДля проверки антивирусов на прочность мыразработали пять собственных тестов. Некоторыетесты представляют собой специальнонаписанные программы, другие можновыполнить вручную с помощью стандартныхXÀÊÅÐ 08 /139/ 10
Кристалл запустился. Полет нормальный!Тайная деинсталляция закончилась обломомПотенциально опасная программа. Действительно,есть у нее такой недостаток.инструментов Windows. Кстати, все испытания проводятсяв Windows XP Professional SP3.За прохождение каждого теста будет выставлятьсяоценка по пятибальной системе — совсем как в школе.Единицы, конечно, мы никому ставить не будем, но изавышать баллы за способность к выживанию — не внаших правилах. В конце мы подсчитаем среднеарифметическоевсех оценок и посмотрим, кто оказалсясамым стойким.Теперь немного о самих тестах. Так как мы тут проводимне абы что, а краш-тестирование, то и испытания у насбудут соответствующие. Основная их цель — вывестииз строя антивирусное ПО как можно незаметнее дляпользователя. Если в результате выполнения того илииного теста защитные функции наших кандидатов«на уничтожение» перестали работать, то антивирьполучает жирную двойку. В противном случае мы будемсмотреть, как ПО справилось с проблемой. Если передсмертью ему удалось выдать какое-нибудь сообщение— начисляем трояк. Как уже было сказано выше,краш-тестов будет всего пять. Первый тест будет тупопытаться удалить самые важные бинарные файлы дистрибутиваантивируса. Но не просто удалить, а удалитьпри загрузке ОС с помощью специальной API-функции.Второй будет делать то же самое, но при этом еще ихитро шифровать имя удаляемого файла, чтобы антивирьне догадался, что его хотят стереть с практическисобственного жесткого диска. Третий тест, опять же,удаляет жизненно важные файлы, но при этом скрываетэто, маскируя вызов смертоносной API-функции подсовершенно безобидный код.Четвертое и пятое испытание стоят особняком, посколькубудут выполняться с помощью стандартныхсредств ОС Windows — никаких специальных утилитмы писать не будем. Разумеется, при желании всеэто можно реализовать и программно. Итак, один изтестов будет запрещать запуск антивируса посредствомполитик безопасности, а второй попробует деинсталлироватьПО без лишнего шума и пыли.Итак, когда мы немного разобрались с тем, что будемделать, приступим непосредственно к краш-тестам.ТЕСТ №1Первый тест будет производиться с помощью специальнонаписанной утилиты. В командной строке мы передадимей полное имя файла, который хотим удалить приследующей загрузке ОС. Программа вызовет системнуюфункцию MoveFileEx, которая может перемещатьфайлы и папки. Первый ее параметр — это полное имяперемещаемого файла, второй — куда будем перемещать,а третий — флаг, который задает некоторые опцииперемещения. Если второй параметр оставить пустым,то есть передать NULL вместо строки с новым местомхранения, а в качестве флага установить значениеMOVEFILE_DELAY_UNTIL_REBOOT, то нужный нам файлбудет удален во время загрузки ОС.Все просто. Всего одна функция, и никакого хитроумногокода. Такую утилитку может написать даже учениксредней школы. Теперь проверим, как она подействуетна наши антивирусы. Первым по списку идет KasperskyCRYSTAL. Если посмотреть в менеджер процессов,то мы увидим, что Каспер два раза запустил avp.exe.Одна копия запущена с системными привилегиями, аWARNINGwarningНе используйнелицензионныеверсии антивирусовв своем сервисе и нехостись в России.INFOinfoRESPECTГруппе И-3-1(ПрикладнаяМатематика) МГТУ«Станкин».DieHard, YaesU, metalAsechka.Ru communityXÀÊÅÐ 08 /139/ 10 079