GridinSoft

Подписчиков: 0     Сообщений: 1     Рейтинг постов: -1.9

антивирусы GridinSoft Zillya безопасность длиннопост тестирование на самом деле нет песочница 

"Из грязи в князи" или первые впечатление от тестирования антивирусов

Ахтунг: много текста и картинок.

Небольшое предисловие


Приветствую вас тролли, лжецы и девственники. Я не тестировщик и в индустрии вирусов\антивирусов совсем не понимал, до этого момента. Потому не кидайтесь камнями, это мое первое тестирование. Если оно пойдет хорошо, может буду продолжать, оказалось что эта тема очень интересная и стоит внимания каждого технически подкованного куна. Начну пожалуй с того, как я вообще докатился до этого. Сижу на реакторе, как обычно, деградирую. Получаю сообщение от друга в скайп. Открыл, там оказалась статья (акция ко дню независимости от компании), которая и запалила во мне интерес. Оказывает в Украине делают антивирус. В итоге решил запостить сюда(http://polit.reactor.cc/post/2769889) и спросить мнение реакторчан, может кто и пользовался тут. По ходу событий я выяснил, что не только GridinSoft делает антивирусы у нас в Украине, есть другие представители - Zillya. Я решил посмотреть на продукты этих производителей и кто-то попросил запостить мои результаты. И вот собственно он. В этом посте я буду рассматривать GridinSoft Anti-Malware 3.0.53 и Zillya Internet Security 3.0.1949 (решил взять именно эти продукты компаний). Материал буду излагать в 3 частях, первые две будут про то, что я увидел в программах, а третяя будет сравнение и мои мысли по ним.

Поскольку меня, как бандеровца, привлекла акция с кодом "ПТН-ПНХ" - я решил вначале написать в саппорт GridinSoft и спросить почему они решили провести эту акцию именно так. Ответ был таков "Акция была введена в честь дня независимости Украины, поскольку Путин пытается посягать на наши территории - мы решили выразить свое недовольство к этому человеку таким образом." (перевел с укр. чтобы было понятнее)
Бандеровец во мне немного ликовал, но я решил оставить эмоции в стороне, делаем же серьезный обзор. Я попросил передать мое уважение директору, пошел качать их Anti-Malware и паралельно Zillya Internet Security.

Перед тем как делать обзор, я решил вооружиться какими-то знаниями в области и посмотрел кучу роликов\перечитал кучу статей и обзоров на антивирусные продукты и сформировал приблизительный план и критерии по которым стоит тестировать антивирусы. Для тестирования я решил использовать виртуальную машину на Hyper-V, к сожалению свободной реальной машины у меня нету, а свой засорят не очень хотелось. Пришлось выкручиваться, поставил Win7 виртуалку и сделал её полностью под анг юзера(языки\время). Приступим, надеюсь вам понравиться!

Часть 1. GridinSoft Anti-Malware

1. Первые впечатления
Что касается установки, то тут всё выглядит хорошо. Офф сайты выглядят норм, кастом инсталлер, простая установка, без всяких опций и наворотов.
Сразу после установки и запуска GridinSoft Anti-Malware мне показало окно что опция On-Run Protection(защита реального времени) доступна только для зарегистрированных пользователей. Можно закрыть окно и продолжать в бесплатной версии, а можно нажать на "Get a License" и купить у них лицензию. Я решил пойти третим путем и написать в саппорт, чтобы попросить у них ключ для тестирования. На мое удивление ключ мне дали почти сразу, сказали обращаться к ним, в случаи возникновения каких-либо вопросов. Попутно я спросил, чем отличаются платная версия от бесплатной. В ответ получил приблизительно следующее "В платной версии доступна функция On-Run Protection и возможность удаления всех обнаруженных угроз. В бесплатной вы можете удалить только 50% единожды".

Перед тем как я ввел ключ, я решил посмотреть на бесплатную версию. Сканирование в ней начинается по умолчанию через 5 секунд, можно отменить на усмотрение пользователя. Все сказанное мне в саппорте оказалось правдой. Отмечу так же, что все остальные функции, о которых не упомянули, доступны и в бесплатной версии.
2. Сканирование и обнаружение
Этот этап я буду проводить с помощю виртуальной машине, на которой есть 8 загруженных образцов вирусов, из которых 7 сами образцы и 1 архив с образцами. После чего просто установлю антивирус на свой домашний ПК и попробую запустить его, посмотреть найдет ли он что-то на моей машине(вроде чистая).

На выбор нам предлагает 4 типа сканирования: Quick scan, Full Scan, Custom scan, Removable Scan.
Попробуем быстрый скан, образцы лежат в директории "C:\Users\***\Downloads\Samples", 8 штук, смотрим, как прошло обнаружение:

Cl
Scan

Protect
Update
Ш ©
Tools
Settings
Help
Your system is at risk!
Scan completed in 1 minute(s) 3 sec.
Files were scanned 4436
Last scan result 7 detected items
Type:	All
Apply to all:	Move to quarantine
Ransom.Win32.Crypter.sh	Move to quarantine	Ж
c:\us e г; о wnl о a d s\Sa


Обнаружило 7 из 8 файлов, сканирование завершено за 01:03, проверило 4436 файлов, настройки скана были максимально жесткие. Для справки - на виртуалке сделал винт 130гб на один локальный диск, забито 26 гб, почти чистая винда. Архив оно не обнаружило.
3. Доболнительны плюхи
Полазив по вкладкам Settings, можно найти интересные настройки, касающие многих аспектов программы. Можно отметит настройки сканирования:

Settings
Ш General
| О Scan options О Update ГЛ Language Щ Scheduled Scan П Ignore List
SCAN & CLEAN
0jDeep scan (slow)
0 Potential Unwanted Programs and Riskware detection N Ignore incomplete files . Ignore files larger than 64MB 0 Terminate memory threats while scanning 0 Show scan errors 0


В подвкладке General (выше на скрине) есть опция Create Restore Point. Что она делает я понял, но вот когда она это делает, я так и не понял. В саппорте мне сказали, что эта опция создает рестор поинт перед тем, как пользователь начнет удалять файлы, а не помещать их в карантин. Выглядит как запасной план на случай, если антивирус удалит что-то не то. Разумно, но выглядит как велосипед.
Во вкладке Tools можно найти Reset Browser Settings с такими параметрами:

(<) Reset browser settings
Browsers	Process	Reset (restore to its defaults)
0 Internet Explorer	0 Shortcuts	□ HOSTS file
0 Chrome	0 Start page	0 Internet Explorer proxy settings
0 Fi refox	0 Search engines 0 Addons 0 Cookies О History 0 Cache □ Policies	0 DNS cache
This operation will close


Можно выбрать браузеры, какие опции в них сбросить. Есть так же 3ая колонка, которая имеет 3 опции: соброс файла hosts, сброс настроек IE прокси и ДНС кэш. Довольно интересное решение, могу представить себе ситуации где это можно использовать (Привет Mail.ru).
Можно так же написать отправить в саппорт информацию по своей системе, если вы уверены, что она все еще заражена после сканирования.
4. Защита реального времени (On-Run protection)
Как и говорилось, в бесплатной версии нельзя использовать эту функицю. После ввода ключа я смог оценить эту защиту. Я сохранил семплы и решил их позапускать при включенной защите:

			CD 0 |p«3-|
.v ► Downloads ► Samples		▼ Search Samples	P
Organize ▼ Include in library ▼ Share with ▼	New folder		i== - a ®
T-V Favorites	> Name	Date modified	Type	Size
E Desktop	["1 bbcrypt	8/28/2016 3:38 PM	Application	3 KB
4 Downloads	Z1 e2ccd482-54c6-lle6-8a8a-80e65024849a	7/28/2016


Это пример одного из них, что-то тут работает - уже хорошо. В итоге оно заблокировала все файлы, пока я их пытался запустить.

5. Цена
2пк\пол года - 200 грн.
2пк\1 год - 300 грн.
2пк Вип вечная - 1000 грн.
(такая информация на момент публикации поста)

По умолчанию я не нашел информации на сколько компьютеров у них лицензии, пришлось писать в саппорт и спрашивать там.

Переходим к другому представителю антивирусов из Украины

Часть 2. Zillya Internet Security

(все тесты проводил на той же виртуалке, предварительно откатив до начального состояния)
1. Первые впечатления
Офф сайты тоже хороши, кастом инсталлер, тоже быстрая установка.
К сожалению, уже на стадии запуска я столкнулся с проблемами:

с
Zillyo Internet Security
x
<- Back
Antivirus is updated
Last update
Antivirus databases
Number of signatures
0
cjj Updates
© Exclusions
Program vercion
Antivirus updates automatically, but you can run updates manually, as well
Quarantine
Update


Суть сей проблемы оказалось таковой - не показывались версия базы данных и количество сигнатур, такое впечатление что их просто нет. В этом состоянии я мог начать сканирование вообще никак, кнопка не работала. Немного поклацав и подумав, я понял почему так - программа уже обновлялась (в трее вертелся значек + процесс забирал %ЦП, вполне логичное предположение) и пока она не обновится, я не мог сделать ничего. Увы, после часу ожиданий ничего не происходило, наверное что-то где-то зависло. Закрыл прогу через диспетчер, отрклы снова - та же фигня. Решил перезагрузить виртуалку и алилуя - все работало, но первое впечатление уже испорчено. Возможно антивир просто плохо работает с виртуализацией, но утверждать не могу.
Примечение: Тут есть 15 дневный триал, потому лицензию просить не будем.
2. Сканирование и Обнаружение
Тут на выбор у нас есть 3 типа сканирования: Quick Scan, Full Scan, Custom Scan.
Попробуем быстрый скан при тех же условиях:

с
Zillyo Internet Security
x
ft Quick scan
Hpl Full
Custom scan
Quick scan
Scanning is finished
Number of scanned objects: 22295 Number of detected threats: 2
Close the report
Visit card
Total time: 00:04:11
View list
il Троянська програма
1/2
Trojan.Papras.Win32.S029


Обнаружило только 2 файла из 8. Архив так же не нашело. Сканирование завершено за 04:11, проверило 22295 файлов.
3. Дополнительные плюхи
Что касается дополнительного функционала, то тут хоть жопой жуй:

с
Zillyo Internet Security
x
Antivirus protection Guard Inspector USB protection Updates Exclusions Quarantine Net protection Firewall
Internet protection Mail protection Antispam Tools
Optimizer File eraser Virtual keyboard Scheduler Maintenance
A
Quick scan
Scanning is finished
Number


Сюда впихнули много полезных наворотов вроде "Optimizer", встроенного фаервола и виртуальных клавиатур и стирателя(File eraser).
Разберу значимые:
К примеру Optimizer это как портативный CCleaner или GlaryUtilities, только в более обрезанной форме. Может пригодиться.
Виртуальная клавиатура позволяет вводить пароли, без отправки сигналов с физической, таком образом делая невозможным отследить, какие клавиши нажимает пользователь. Может пригодиться, но лично я считаю ненужон.
Почтовые функции антиспама и Мейл протектора я не тестировал, ибо они работаю с почтовыми клиентами (насколько я понял).
Стиратель (File eraser) действительно полезная функция. Но при первом использовании у меня зависла программа, пришлось перезапускать. Заработало со второго раза. В итоге из 5 попыток зависло 2 раза, почему - не знаю.
Можно так же связаться с сапортов в случаи не решения своей проблемы.
4. Защита реального времени(Guard)
Тут сказать что-то сложно. В меню Guard показывает обнаружение 3х файлов, но в самой папке все файлы на месте. Почему не всплывалось никаких окошек, хотя в настройках стоит нотификейшен:

<- Back
Guard
U Guard	( •) Real-time protection
Inspector	(Detected threats: 3 Moved to quarantine: 0 Deleted threats: 0,антивирусы,GridinSoft,Zillya,безопасность,длиннопост,тестирование,на самом деле нет,песочница

= с
«* Back
ф. Scan
Guard
6% Inspector
USB-protection
Ziilyo Internet Sect
C •) Guard
C •) Notifications
(•) Cure (quarantine in case of failure) О Cure (ask the user in case of faiure) О Cure (delete in case of failure)
О Ask the user О Quarantine О Delete О Ignore


При запуске не обнаруженных файлов тоже никаких нотификейшенов и они загружались в память. Те 2 обнаруженных во время скана файла были заблокированы.
5. Цена
На офф сайте можно найти очень много вариаций лицензий со всеми данными, вот "топ предложения":
1 пк\1 год - 180 грн.
2 пк\1 год - 288 грн.
2 пк\2 год - 432 грн.
(такая информация на момент публикации поста)

Часть 3. "Есть два стула..."


Вот я и добрался до основной части, сравнение и выражение своих мысле по поводу двух антивирусов украинского производства - GridinSoft Anti-Malware и Zillya Internet Security.

Хочу сразу отметить несколько вещей:
1) Вы спросите почему так мало образцов (всего 8), а я отвечу - да ну нахуй. Никогда бы не подумал, что найти образец вируса в интернете даже с помощью гугла будет трудно. Нашел пару ресурсов которые предоставляют это без регистрации и СМС, но все же были ограничения. Идею с простым прокликиванием рекламы на сомнительных сайтах я отбросил, поскольку не знал бы точное количество вирусов, которых я мог подхватить.
2) Не стоит воспринимать этот пост как Обзор, я просто рандомный анон, который выкладывает результаты своих личных тестирований по просьбе другого анона, может кому еще будет интересно.
3) Пишите ваши мысли по этим продуктам и по качеству моего "обзора", если народу будет интересно, то поможет мне в будущем.
4) Как я уже и говорил, я не особо компетентен в этой сфере и мои мысли косаются только этих двух программ, не области в целом.

Теперь к главному. Если сравнивать в общем, то почему-то GridinSoft Anti-Malware мне понравился больше, чем Zillya Internet Security. Я бы отдал свое предпочтение именно этому продукту. Но давайте по порядку.

Уже на момент зависания Zillya я проникся не очень приятными чувствами к этому антивирусу. Но как я писал в начале, я тестировал на виртуалке и на реальной машине (которую не заражал, интересно было посмотреть обнаружет ли что-то). На реальной машине Зилля показало себя лучше, не зависла при первом запуске. Но есть такой момент:

с
Zillyo Internet Security
x
ft Quick scan
Hpl Full
Custom scan
Quick scan
Scanning is finished
Number of scanned objects: 22295 Number of detected threats: 2
Close the report
Visit card
Total time: 00:04:11
View list
il Троянська програма
1/2
Trojan.Papras.Win32.S029


При том, что система вся на Английском и время тоже - тут почему-то текст пишеться на Украинском. Может вычислили по айпи(не запускал впн), но почему тогда весь текст не Украинский? Сам факт зависания зилля я могу списать на недостаточно производительную виртуалку или Зилля плохо работает под виртуализацией. Открыв диспетчер задач я заметил что Зилля потребляет более 300мб оперативы и почему-то постоянно жрет ЦП (от 5 до 30% в общем, нестабильно, прога в состоянии простоя):

taskhost.exe	00	3,248 К	9	Host Process tor Windows Tasks
taskhost.exe	00	900 К	5	Host Process for Windows Tasks
taskmgr.exe	00	1,448 К	6	Windows Task Manager
UIODetect.exe	00	1,276 К	5	Interactive services detection
VSSVC.exe	00	3,996 К	5	Microsoft® Volume Shadow Copy Service
wininit.exe	00


Это может быть результат того самого навороченого функционала.
Для сравнения результат GridinSoft Anti-Malware в состоянии простоя:

image Name	LrU	Memory (...
csrss.exe	00	976 К
csrss.exe	00	1,020 К
dwm.exe	00	372 К
explorer.exe	00	27,524 К
gsam.exe	00	188,512 К
lsass.exe	00	2,404 К
lsm.exe	00	956 К
Searchlndexer.exe	00	6,364 К
services.exe	00	3,476 К
	nn	ЧЛО V
i nreaas Description
8 Client Server Runtime Process 8


Еще один момент который меня немного раздразил:

Are You sure You want to turn off Zillya Internet Security? In this case, You will have no antivirus protection.
Run Zillya Internet Security, in:
S minutes
Please, enter the symbols from the image:
mhdxt
Yes
Cancel,антивирусы,GridinSoft,Zillya,безопасность,длиннопост,тестирование,на самом


Ввести капчу чтобы закрыть программу. Тут я немного пригорел, но эмоции в сторону. Для безопасности вполне логично, механиз самозащиты. Но капча, как по мне, это зашквар.


У GridinSoft тоже не все так радужно, но по крайней мере по функционалу я там не заметил косяков (детект в отдельную тему, есть где критиковать) и никаких зависаний (как на виртуалке, так и на реальной). Есть такой момент:

а GridinSoft Anti-Malware
X
^^Congratulations!
Your system is clean
4 out of 4
removed ..................... detected
Share this result with your friends:,антивирусы,GridinSoft,Zillya,безопасность,длиннопост,тестирование,на самом деле нет,песочница


Предлагает твитнуть о том, что ты почистил систему с помощью GridinSoft. Но тут хотя бы по желанию, хочешь шкварься, а хочешь нет, закрывай окно и все. Потому тут не сильно пригорает.

Дизайн
Надо сказать пару слов о дизайне программ. Если бы не косяки в переводе Zillya и их неудобный интерфейс (меню закрывается если увести с него мышку, кнопка Бек ведет на хоум экран, а не обратно в меню, не интуитивные пункты меню), я бы отдал предпочтение их дизайну интерфейса, но увы.

Цена
По ценам продукт Zillya выходит дешевле своего конкурента, GridinSoft, хоть и разница небольшая. Кому-то может быть странно, почему так, если в Zillya больше потенциальных плюшек, чем в GridinSoft. Но тест выше показал, что возможно не все так хорошо с этими самыми плюшками. В какой-то момент, мне показалось что некоторые из них (usb-protection, mail protection, antispam, firewall, virtual keyboard, optimizer) ввели только для галочки, кажутся сырыми и недоделанными. Может со временем они и станут лучше.

Сканирование и Обнаружение
Вот тут, пожалуй, напишу развернуто, ибо похоже что именно эта часть интересует абсолютно всех пользователей больше всего. В моем прошлом посте, юзер пишет про странный детект GridinSoft Anti-Malware(http://polit.reactor.cc/post/2769889#comment12746268). Тут я понял, что все зависит от точки зрения пользователя.


1. Когда я запустил на реальной машине Zillya, то он нашел 1 результат в папке Темп:

= с
Zillyo Internet Security
<r Back
Quick scan
Quick scan
Hpl Full
scan
Custom scan
C:\Users\
tppData\Roaming\Sk...339C41/4pimgpsh_fullsize_distr.jpg
22%
Number of scanned objects: 45463 Number of detected threats: 1
Total time: 00:06:13
Visit card
View list
.il Завантажувач


Лаунчер для Max Payne 3, давно качал крякнутый.
2. Когда я запустил на реальной машине Гридинсофт, он нашел папку стим, перед этим заблокировав процесс Steam.exe:

С( Q © ЁЁЗ Ш ©
Scan	Update	Tools	Settings	Help
Protect
On-Run Protection
SHIELD TRAFFIC:
10-
8-
6-
4-
2-
o-
ON
I
Stop
Total scanned files: Total infected files: Last file scanned:
2710
1
C:\Windows\SysWOW64\Macromed\Flash\Flash.ocx
Scanned files	Infected files
SHIELD DETECTION:

GridinSoft Anti-Malware (64-bit) 3.0.53 - Scanning process
ci
Scan

Protect
Update
Ш ©
Tools
Settings
Help
►
Your system is at risk!
Scan completed in 7 minute(s) 20 sec.
Files were scanned 37703
Last scan result	11 detected items
Apply to all:	Move to quarantine


Вначале я подумал что это ложное обнаружение, блокировать стим и удалять целую папку. Но вспомнив, что в индустрии антивирусов не все так просто, я начал гуглить этот самый Steam.ехе по пути c:\users\\appdata\roaming\steam\reversed, нашел много тем, в том числа и на стимкоммюнити(https://steamcommunity.com/discussions/forum/1/35221584425122691/?l=russian), о том, что это вирус CoinMiner и стоит удалить папку. В таком случаи все логично. Разберу по порядку.

Насчет Zillya. Наш менталитет таков, что мы любим халяву, кряки и т.д. Кому-то может нравиться то, что антивирус детектит кряки, кому-то нет. В СНГ странах таких не любят, но уже привыкли, потому не странно, что задетектило кряк (предполагаю что это крякнутый лаунчер, а не оригинальный).

Что же до обнаружений GridinSoft. По сути, вирусом является только один файл "Steam.exe", его антивирус и заблокировал (Zillya между прочем не показал его). Сама папка после этого не должна представлять угрозы, хотя и гридинсофт показал файлы как вирусы во время сканирования. Вот тут и вступает в действие разность во взглядах. Если скопировать файл из папки Anti-Malware в папку Reversed, он и этот файл посчитает вирусом. Можно предположить, что антивирус смотрит только на наличие папки и не смотрит, что внутри неё. По сути своей папка бесполезна и её удаление никак не скажеться на системе, только место занимает. Возможно есть другие обоснования этого подхода, возможно тут проблема не в обнаружении как таковом, а в том, как его поднесли пользователю (как вирусы, а не как нежелательные файлы). С одной стороны у нас папка, установленная уже удаленным вирусом и не представляет угрозы, с другой - показать пользователю, что такая папка у него есть и он был заражен тоже стоит (наверное). Тут уже кому как, решайте сами. Но я считаю, что в этом подходе что-то есть, попользуюсь и посмотрю что да как. Все же стоит отметить, что у пользователя с моего прошлого поста были и ложные обнаружения, безусловно минус. Хотя кому-то может и понравится такая жесткая политика.

Вот пример такого детекта (оригинал от пользователя Idler в первом посте):

а gsam.exe £) gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe


По поводу сканирования могу отметить следующее - в Zillya быстрый скан просканировал 22295 файлов, в GridinSoft 4436 (тут и разница во времени), либо первый слишком много файлов берет для быстрого скана, либо второй берет мало. Но по скорости сканирования Zillya впереди - ~89файлов\сек. против GridinSoft - ~79ф.\с. Разница небольшая, но факт.

Вывод

Пока я писал весь этот текст, у меня еще паралельно был запущен Zillya, я решил открыть, попробовать другие типы сканов, но открыв его, напоролся на то же самое подвисание обновления, описанное в Части 2 пункт 1:

с
Zillyo Internet Security
x
<r Back
Q Guard 6b Inspector § USB-protection
© Exclusions Quarantine,антивирусы,GridinSoft,Zillya,безопасность,длиннопост,тестирование,на самом деле нет,песочница


Кнопка Finish не работает, скан не начинается из за обновления. Вообщем ганьба, господа. Постоянную недоделанность чувствую в этом антивире, большой минус, хотя бы по этому я уже выбираю GridinSoft. Ну и на последок, как гражданин Украины я удивлен и действительно рад, что у нас есть такие продукты. Развиватесь и процветайте.

П.С. Напомню еще раз, оставляйте ваши комментарии, буду рад узнать ваши мысли по поводу поста и продуктов. Политота идет лесом в другой пост(http://polit.reactor.cc/post/2769889), там стоит нужный тег. Спасибо за внимание!
Развернуть
Комментарии 8 29.08.201613:35 ссылка -1.9
В этом разделе мы собираем самые смешные приколы (комиксы и картинки) по теме GridinSoft (+1 картинка, рейтинг -1.9 - GridinSoft)