GridinSoft

Подписчиков: 0     Сообщений: 1     Рейтинг постов: -1.9

антивирусы GridinSoft Zillya безопасность длиннопост тестирование на самом деле нет песочница 

"Из грязи в князи" или первые впечатление от тестирования антивирусов

Ахтунг: много текста и картинок.

Небольшое предисловие


Приветствую вас тролли, лжецы и девственники. Я не тестировщик и в индустрии вирусов\антивирусов совсем не понимал, до этого момента. Потому не кидайтесь камнями, это мое первое тестирование. Если оно пойдет хорошо, может буду продолжать, оказалось что эта тема очень интересная и стоит внимания каждого технически подкованного куна. Начну пожалуй с того, как я вообще докатился до этого. Сижу на реакторе, как обычно, деградирую. Получаю сообщение от друга в скайп. Открыл, там оказалась статья (акция ко дню независимости от компании), которая и запалила во мне интерес. Оказывает в Украине делают антивирус. В итоге решил запостить сюда(http://polit.reactor.cc/post/2769889) и спросить мнение реакторчан, может кто и пользовался тут. По ходу событий я выяснил, что не только GridinSoft делает антивирусы у нас в Украине, есть другие представители - Zillya. Я решил посмотреть на продукты этих производителей и кто-то попросил запостить мои результаты. И вот собственно он. В этом посте я буду рассматривать GridinSoft Anti-Malware 3.0.53 и Zillya Internet Security 3.0.1949 (решил взять именно эти продукты компаний). Материал буду излагать в 3 частях, первые две будут про то, что я увидел в программах, а третяя будет сравнение и мои мысли по ним.

Поскольку меня, как бандеровца, привлекла акция с кодом "ПТН-ПНХ" - я решил вначале написать в саппорт GridinSoft и спросить почему они решили провести эту акцию именно так. Ответ был таков "Акция была введена в честь дня независимости Украины, поскольку Путин пытается посягать на наши территории - мы решили выразить свое недовольство к этому человеку таким образом." (перевел с укр. чтобы было понятнее)
Бандеровец во мне немного ликовал, но я решил оставить эмоции в стороне, делаем же серьезный обзор. Я попросил передать мое уважение директору, пошел качать их Anti-Malware и паралельно Zillya Internet Security.

Перед тем как делать обзор, я решил вооружиться какими-то знаниями в области и посмотрел кучу роликов\перечитал кучу статей и обзоров на антивирусные продукты и сформировал приблизительный план и критерии по которым стоит тестировать антивирусы. Для тестирования я решил использовать виртуальную машину на Hyper-V, к сожалению свободной реальной машины у меня нету, а свой засорят не очень хотелось. Пришлось выкручиваться, поставил Win7 виртуалку и сделал её полностью под анг юзера(языки\время). Приступим, надеюсь вам понравиться!

Часть 1. GridinSoft Anti-Malware

1. Первые впечатления
Что касается установки, то тут всё выглядит хорошо. Офф сайты выглядят норм, кастом инсталлер, простая установка, без всяких опций и наворотов.
Сразу после установки и запуска GridinSoft Anti-Malware мне показало окно что опция On-Run Protection(защита реального времени) доступна только для зарегистрированных пользователей. Можно закрыть окно и продолжать в бесплатной версии, а можно нажать на "Get a License" и купить у них лицензию. Я решил пойти третим путем и написать в саппорт, чтобы попросить у них ключ для тестирования. На мое удивление ключ мне дали почти сразу, сказали обращаться к ним, в случаи возникновения каких-либо вопросов. Попутно я спросил, чем отличаются платная версия от бесплатной. В ответ получил приблизительно следующее "В платной версии доступна функция On-Run Protection и возможность удаления всех обнаруженных угроз. В бесплатной вы можете удалить только 50% единожды".

Перед тем как я ввел ключ, я решил посмотреть на бесплатную версию. Сканирование в ней начинается по умолчанию через 5 секунд, можно отменить на усмотрение пользователя. Все сказанное мне в саппорте оказалось правдой. Отмечу так же, что все остальные функции, о которых не упомянули, доступны и в бесплатной версии.
2. Сканирование и обнаружение
Этот этап я буду проводить с помощю виртуальной машине, на которой есть 8 загруженных образцов вирусов, из которых 7 сами образцы и 1 архив с образцами. После чего просто установлю антивирус на свой домашний ПК и попробую запустить его, посмотреть найдет ли он что-то на моей машине(вроде чистая).

На выбор нам предлагает 4 типа сканирования: Quick scan, Full Scan, Custom scan, Removable Scan.
Попробуем быстрый скан, образцы лежат в директории "C:\Users\***\Downloads\Samples", 8 штук, смотрим, как прошло обнаружение:

Cl Scan Protect Update Ш © Tools Settings Help Your system is at risk! Scan completed in 1 minute(s) 3 sec. Files were scanned 4436 Last scan result 7 detected items Type: All Apply to all: Move to quarantine Ransom.Win32.Crypter.sh Move to quarantine Ж c:\us e г; о wnl о a d s\Sa


Обнаружило 7 из 8 файлов, сканирование завершено за 01:03, проверило 4436 файлов, настройки скана были максимально жесткие. Для справки - на виртуалке сделал винт 130гб на один локальный диск, забито 26 гб, почти чистая винда. Архив оно не обнаружило.
3. Доболнительны плюхи
Полазив по вкладкам Settings, можно найти интересные настройки, касающие многих аспектов программы. Можно отметит настройки сканирования:

Settings Ш General | О Scan options О Update ГЛ Language Щ Scheduled Scan П Ignore List SCAN & CLEAN 0jDeep scan (slow) 0 Potential Unwanted Programs and Riskware detection N Ignore incomplete files . Ignore files larger than 64MB 0 Terminate memory threats while scanning 0 Show scan errors 0


В подвкладке General (выше на скрине) есть опция Create Restore Point. Что она делает я понял, но вот когда она это делает, я так и не понял. В саппорте мне сказали, что эта опция создает рестор поинт перед тем, как пользователь начнет удалять файлы, а не помещать их в карантин. Выглядит как запасной план на случай, если антивирус удалит что-то не то. Разумно, но выглядит как велосипед.
Во вкладке Tools можно найти Reset Browser Settings с такими параметрами:

(<) Reset browser settings Browsers Process Reset (restore to its defaults) 0 Internet Explorer 0 Shortcuts □ HOSTS file 0 Chrome 0 Start page 0 Internet Explorer proxy settings 0 Fi refox 0 Search engines 0 Addons 0 Cookies О History 0 Cache □ Policies 0 DNS cache This operation will close


Можно выбрать браузеры, какие опции в них сбросить. Есть так же 3ая колонка, которая имеет 3 опции: соброс файла hosts, сброс настроек IE прокси и ДНС кэш. Довольно интересное решение, могу представить себе ситуации где это можно использовать (Привет Mail.ru).
Можно так же написать отправить в саппорт информацию по своей системе, если вы уверены, что она все еще заражена после сканирования.
4. Защита реального времени (On-Run protection)
Как и говорилось, в бесплатной версии нельзя использовать эту функицю. После ввода ключа я смог оценить эту защиту. Я сохранил семплы и решил их позапускать при включенной защите:

 CD 0 |p«3-| .v ► Downloads ► Samples ▼ Search Samples P Organize ▼ Include in library ▼ Share with ▼ New folder i== - a ® T-V Favorites > Name Date modified Type Size E Desktop ["1 bbcrypt 8/28/2016 3:38 PM Application 3 KB 4 Downloads Z1 e2ccd482-54c6-lle6-8a8a-80e65024849a 7/28/2016


Это пример одного из них, что-то тут работает - уже хорошо. В итоге оно заблокировала все файлы, пока я их пытался запустить.

5. Цена
2пк\пол года - 200 грн.
2пк\1 год - 300 грн.
2пк Вип вечная - 1000 грн.
(такая информация на момент публикации поста)

По умолчанию я не нашел информации на сколько компьютеров у них лицензии, пришлось писать в саппорт и спрашивать там.

Переходим к другому представителю антивирусов из Украины

Часть 2. Zillya Internet Security

(все тесты проводил на той же виртуалке, предварительно откатив до начального состояния)
1. Первые впечатления
Офф сайты тоже хороши, кастом инсталлер, тоже быстрая установка.
К сожалению, уже на стадии запуска я столкнулся с проблемами:

с Zillyo Internet Security x <- Back Antivirus is updated Last update Antivirus databases Number of signatures 0 cjj Updates © Exclusions Program vercion Antivirus updates automatically, but you can run updates manually, as well Quarantine Update


Суть сей проблемы оказалось таковой - не показывались версия базы данных и количество сигнатур, такое впечатление что их просто нет. В этом состоянии я мог начать сканирование вообще никак, кнопка не работала. Немного поклацав и подумав, я понял почему так - программа уже обновлялась (в трее вертелся значек + процесс забирал %ЦП, вполне логичное предположение) и пока она не обновится, я не мог сделать ничего. Увы, после часу ожиданий ничего не происходило, наверное что-то где-то зависло. Закрыл прогу через диспетчер, отрклы снова - та же фигня. Решил перезагрузить виртуалку и алилуя - все работало, но первое впечатление уже испорчено. Возможно антивир просто плохо работает с виртуализацией, но утверждать не могу.
Примечение: Тут есть 15 дневный триал, потому лицензию просить не будем.
2. Сканирование и Обнаружение
Тут на выбор у нас есть 3 типа сканирования: Quick Scan, Full Scan, Custom Scan.
Попробуем быстрый скан при тех же условиях:

с Zillyo Internet Security x ft Quick scan Hpl Full Custom scan Quick scan Scanning is finished Number of scanned objects: 22295 Number of detected threats: 2 Close the report Visit card Total time: 00:04:11 View list il Троянська програма 1/2 Trojan.Papras.Win32.S029


Обнаружило только 2 файла из 8. Архив так же не нашело. Сканирование завершено за 04:11, проверило 22295 файлов.
3. Дополнительные плюхи
Что касается дополнительного функционала, то тут хоть жопой жуй:

с Zillyo Internet Security x Antivirus protection Guard Inspector USB protection Updates Exclusions Quarantine Net protection Firewall Internet protection Mail protection Antispam Tools Optimizer File eraser Virtual keyboard Scheduler Maintenance A Quick scan Scanning is finished Number


Сюда впихнули много полезных наворотов вроде "Optimizer", встроенного фаервола и виртуальных клавиатур и стирателя(File eraser).
Разберу значимые:
К примеру Optimizer это как портативный CCleaner или GlaryUtilities, только в более обрезанной форме. Может пригодиться.
Виртуальная клавиатура позволяет вводить пароли, без отправки сигналов с физической, таком образом делая невозможным отследить, какие клавиши нажимает пользователь. Может пригодиться, но лично я считаю ненужон.
Почтовые функции антиспама и Мейл протектора я не тестировал, ибо они работаю с почтовыми клиентами (насколько я понял).
Стиратель (File eraser) действительно полезная функция. Но при первом использовании у меня зависла программа, пришлось перезапускать. Заработало со второго раза. В итоге из 5 попыток зависло 2 раза, почему - не знаю.
Можно так же связаться с сапортов в случаи не решения своей проблемы.
4. Защита реального времени(Guard)
Тут сказать что-то сложно. В меню Guard показывает обнаружение 3х файлов, но в самой папке все файлы на месте. Почему не всплывалось никаких окошек, хотя в настройках стоит нотификейшен:

<- Back Guard U Guard ( •) Real-time protection Inspector (Detected threats: 3 Moved to quarantine: 0 Deleted threats: 0,антивирусы,GridinSoft,Zillya,безопасность,длиннопост,тестирование,на самом деле нет,песочница

= с «* Back ф. Scan Guard 6% Inspector USB-protection Ziilyo Internet Sect C •) Guard C •) Notifications (•) Cure (quarantine in case of failure) О Cure (ask the user in case of faiure) О Cure (delete in case of failure) О Ask the user О Quarantine О Delete О Ignore


При запуске не обнаруженных файлов тоже никаких нотификейшенов и они загружались в память. Те 2 обнаруженных во время скана файла были заблокированы.
5. Цена
На офф сайте можно найти очень много вариаций лицензий со всеми данными, вот "топ предложения":
1 пк\1 год - 180 грн.
2 пк\1 год - 288 грн.
2 пк\2 год - 432 грн.
(такая информация на момент публикации поста)

Часть 3. "Есть два стула..."


Вот я и добрался до основной части, сравнение и выражение своих мысле по поводу двух антивирусов украинского производства - GridinSoft Anti-Malware и Zillya Internet Security.

Хочу сразу отметить несколько вещей:
1) Вы спросите почему так мало образцов (всего 8), а я отвечу - да ну нахуй. Никогда бы не подумал, что найти образец вируса в интернете даже с помощью гугла будет трудно. Нашел пару ресурсов которые предоставляют это без регистрации и СМС, но все же были ограничения. Идею с простым прокликиванием рекламы на сомнительных сайтах я отбросил, поскольку не знал бы точное количество вирусов, которых я мог подхватить.
2) Не стоит воспринимать этот пост как Обзор, я просто рандомный анон, который выкладывает результаты своих личных тестирований по просьбе другого анона, может кому еще будет интересно.
3) Пишите ваши мысли по этим продуктам и по качеству моего "обзора", если народу будет интересно, то поможет мне в будущем.
4) Как я уже и говорил, я не особо компетентен в этой сфере и мои мысли косаются только этих двух программ, не области в целом.

Теперь к главному. Если сравнивать в общем, то почему-то GridinSoft Anti-Malware мне понравился больше, чем Zillya Internet Security. Я бы отдал свое предпочтение именно этому продукту. Но давайте по порядку.

Уже на момент зависания Zillya я проникся не очень приятными чувствами к этому антивирусу. Но как я писал в начале, я тестировал на виртуалке и на реальной машине (которую не заражал, интересно было посмотреть обнаружет ли что-то). На реальной машине Зилля показало себя лучше, не зависла при первом запуске. Но есть такой момент:

с Zillyo Internet Security x ft Quick scan Hpl Full Custom scan Quick scan Scanning is finished Number of scanned objects: 22295 Number of detected threats: 2 Close the report Visit card Total time: 00:04:11 View list il Троянська програма 1/2 Trojan.Papras.Win32.S029


При том, что система вся на Английском и время тоже - тут почему-то текст пишеться на Украинском. Может вычислили по айпи(не запускал впн), но почему тогда весь текст не Украинский? Сам факт зависания зилля я могу списать на недостаточно производительную виртуалку или Зилля плохо работает под виртуализацией. Открыв диспетчер задач я заметил что Зилля потребляет более 300мб оперативы и почему-то постоянно жрет ЦП (от 5 до 30% в общем, нестабильно, прога в состоянии простоя):

taskhost.exe 00 3,248 К 9 Host Process tor Windows Tasks taskhost.exe 00 900 К 5 Host Process for Windows Tasks taskmgr.exe 00 1,448 К 6 Windows Task Manager UIODetect.exe 00 1,276 К 5 Interactive services detection VSSVC.exe 00 3,996 К 5 Microsoft® Volume Shadow Copy Service wininit.exe 00


Это может быть результат того самого навороченого функционала.
Для сравнения результат GridinSoft Anti-Malware в состоянии простоя:

image Name LrU Memory (... csrss.exe 00 976 К csrss.exe 00 1,020 К dwm.exe 00 372 К explorer.exe 00 27,524 К gsam.exe 00 188,512 К lsass.exe 00 2,404 К lsm.exe 00 956 К Searchlndexer.exe 00 6,364 К services.exe 00 3,476 К nn ЧЛО V i nreaas Description 8 Client Server Runtime Process 8


Еще один момент который меня немного раздразил:

Are You sure You want to turn off Zillya Internet Security? In this case, You will have no antivirus protection. Run Zillya Internet Security, in: S minutes Please, enter the symbols from the image: mhdxt Yes Cancel,антивирусы,GridinSoft,Zillya,безопасность,длиннопост,тестирование,на самом


Ввести капчу чтобы закрыть программу. Тут я немного пригорел, но эмоции в сторону. Для безопасности вполне логично, механиз самозащиты. Но капча, как по мне, это зашквар.


У GridinSoft тоже не все так радужно, но по крайней мере по функционалу я там не заметил косяков (детект в отдельную тему, есть где критиковать) и никаких зависаний (как на виртуалке, так и на реальной). Есть такой момент:

а GridinSoft Anti-Malware X ^^Congratulations! Your system is clean 4 out of 4 removed ..................... detected Share this result with your friends:,антивирусы,GridinSoft,Zillya,безопасность,длиннопост,тестирование,на самом деле нет,песочница


Предлагает твитнуть о том, что ты почистил систему с помощью GridinSoft. Но тут хотя бы по желанию, хочешь шкварься, а хочешь нет, закрывай окно и все. Потому тут не сильно пригорает.

Дизайн
Надо сказать пару слов о дизайне программ. Если бы не косяки в переводе Zillya и их неудобный интерфейс (меню закрывается если увести с него мышку, кнопка Бек ведет на хоум экран, а не обратно в меню, не интуитивные пункты меню), я бы отдал предпочтение их дизайну интерфейса, но увы.

Цена
По ценам продукт Zillya выходит дешевле своего конкурента, GridinSoft, хоть и разница небольшая. Кому-то может быть странно, почему так, если в Zillya больше потенциальных плюшек, чем в GridinSoft. Но тест выше показал, что возможно не все так хорошо с этими самыми плюшками. В какой-то момент, мне показалось что некоторые из них (usb-protection, mail protection, antispam, firewall, virtual keyboard, optimizer) ввели только для галочки, кажутся сырыми и недоделанными. Может со временем они и станут лучше.

Сканирование и Обнаружение
Вот тут, пожалуй, напишу развернуто, ибо похоже что именно эта часть интересует абсолютно всех пользователей больше всего. В моем прошлом посте, юзер пишет про странный детект GridinSoft Anti-Malware(http://polit.reactor.cc/post/2769889#comment12746268). Тут я понял, что все зависит от точки зрения пользователя.


1. Когда я запустил на реальной машине Zillya, то он нашел 1 результат в папке Темп:

= с Zillyo Internet Security <r Back Quick scan Quick scan Hpl Full scan Custom scan C:\Users\ tppData\Roaming\Sk...339C41/4pimgpsh_fullsize_distr.jpg 22% Number of scanned objects: 45463 Number of detected threats: 1 Total time: 00:06:13 Visit card View list .il Завантажувач


Лаунчер для Max Payne 3, давно качал крякнутый.
2. Когда я запустил на реальной машине Гридинсофт, он нашел папку стим, перед этим заблокировав процесс Steam.exe:

С( Q © ЁЁЗ Ш © Scan Update Tools Settings Help Protect On-Run Protection SHIELD TRAFFIC: 10- 8- 6- 4- 2- o- ON I Stop Total scanned files: Total infected files: Last file scanned: 2710 1 C:\Windows\SysWOW64\Macromed\Flash\Flash.ocx Scanned files Infected files SHIELD DETECTION:

GridinSoft Anti-Malware (64-bit) 3.0.53 - Scanning process ci Scan Protect Update Ш © Tools Settings Help ► Your system is at risk! Scan completed in 7 minute(s) 20 sec. Files were scanned 37703 Last scan result 11 detected items Apply to all: Move to quarantine


Вначале я подумал что это ложное обнаружение, блокировать стим и удалять целую папку. Но вспомнив, что в индустрии антивирусов не все так просто, я начал гуглить этот самый Steam.ехе по пути c:\users\\appdata\roaming\steam\reversed, нашел много тем, в том числа и на стимкоммюнити(https://steamcommunity.com/discussions/forum/1/35221584425122691/?l=russian), о том, что это вирус CoinMiner и стоит удалить папку. В таком случаи все логично. Разберу по порядку.

Насчет Zillya. Наш менталитет таков, что мы любим халяву, кряки и т.д. Кому-то может нравиться то, что антивирус детектит кряки, кому-то нет. В СНГ странах таких не любят, но уже привыкли, потому не странно, что задетектило кряк (предполагаю что это крякнутый лаунчер, а не оригинальный).

Что же до обнаружений GridinSoft. По сути, вирусом является только один файл "Steam.exe", его антивирус и заблокировал (Zillya между прочем не показал его). Сама папка после этого не должна представлять угрозы, хотя и гридинсофт показал файлы как вирусы во время сканирования. Вот тут и вступает в действие разность во взглядах. Если скопировать файл из папки Anti-Malware в папку Reversed, он и этот файл посчитает вирусом. Можно предположить, что антивирус смотрит только на наличие папки и не смотрит, что внутри неё. По сути своей папка бесполезна и её удаление никак не скажеться на системе, только место занимает. Возможно есть другие обоснования этого подхода, возможно тут проблема не в обнаружении как таковом, а в том, как его поднесли пользователю (как вирусы, а не как нежелательные файлы). С одной стороны у нас папка, установленная уже удаленным вирусом и не представляет угрозы, с другой - показать пользователю, что такая папка у него есть и он был заражен тоже стоит (наверное). Тут уже кому как, решайте сами. Но я считаю, что в этом подходе что-то есть, попользуюсь и посмотрю что да как. Все же стоит отметить, что у пользователя с моего прошлого поста были и ложные обнаружения, безусловно минус. Хотя кому-то может и понравится такая жесткая политика.

Вот пример такого детекта (оригинал от пользователя Idler в первом посте):

а gsam.exe £) gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe


По поводу сканирования могу отметить следующее - в Zillya быстрый скан просканировал 22295 файлов, в GridinSoft 4436 (тут и разница во времени), либо первый слишком много файлов берет для быстрого скана, либо второй берет мало. Но по скорости сканирования Zillya впереди - ~89файлов\сек. против GridinSoft - ~79ф.\с. Разница небольшая, но факт.

Вывод

Пока я писал весь этот текст, у меня еще паралельно был запущен Zillya, я решил открыть, попробовать другие типы сканов, но открыв его, напоролся на то же самое подвисание обновления, описанное в Части 2 пункт 1:

с Zillyo Internet Security x <r Back Q Guard 6b Inspector § USB-protection © Exclusions Quarantine,антивирусы,GridinSoft,Zillya,безопасность,длиннопост,тестирование,на самом деле нет,песочница


Кнопка Finish не работает, скан не начинается из за обновления. Вообщем ганьба, господа. Постоянную недоделанность чувствую в этом антивире, большой минус, хотя бы по этому я уже выбираю GridinSoft. Ну и на последок, как гражданин Украины я удивлен и действительно рад, что у нас есть такие продукты. Развиватесь и процветайте.

П.С. Напомню еще раз, оставляйте ваши комментарии, буду рад узнать ваши мысли по поводу поста и продуктов. Политота идет лесом в другой пост(http://polit.reactor.cc/post/2769889), там стоит нужный тег. Спасибо за внимание!
Развернуть
В этом разделе мы собираем самые смешные приколы (комиксы и картинки) по теме GridinSoft (+1 картинка, рейтинг -1.9 - GridinSoft)