"Из грязи в князи" или первые впечатление от тестирования антивирусов
Ахтунг: много текста и картинок.
Небольшое предисловие
Приветствую вас тролли, лжецы и девственники. Я не тестировщик и в индустрии вирусов\антивирусов совсем не понимал, до этого момента. Потому не кидайтесь камнями, это мое первое тестирование. Если оно пойдет хорошо, может буду продолжать, оказалось что эта тема очень интересная и стоит внимания каждого технически подкованного куна. Начну пожалуй с того, как я вообще докатился до этого. Сижу на реакторе, как обычно, деградирую. Получаю сообщение от друга в скайп. Открыл, там оказалась статья (акция ко дню независимости от компании), которая и запалила во мне интерес. Оказывает в Украине делают антивирус. В итоге решил запостить сюда(http://polit.reactor.cc/post/2769889) и спросить мнение реакторчан, может кто и пользовался тут. По ходу событий я выяснил, что не только GridinSoft делает антивирусы у нас в Украине, есть другие представители - Zillya. Я решил посмотреть на продукты этих производителей и кто-то попросил запостить мои результаты. И вот собственно он. В этом посте я буду рассматривать GridinSoft Anti-Malware 3.0.53 и Zillya Internet Security 3.0.1949 (решил взять именно эти продукты компаний). Материал буду излагать в 3 частях, первые две будут про то, что я увидел в программах, а третяя будет сравнение и мои мысли по ним.
Поскольку меня, как бандеровца, привлекла акция с кодом "ПТН-ПНХ" - я решил вначале написать в саппорт GridinSoft и спросить почему они решили провести эту акцию именно так. Ответ был таков "Акция была введена в честь дня независимости Украины, поскольку Путин пытается посягать на наши территории - мы решили выразить свое недовольство к этому человеку таким образом." (перевел с укр. чтобы было понятнее)
Бандеровец во мне немного ликовал, но я решил оставить эмоции в стороне, делаем же серьезный обзор. Я попросил передать мое уважение директору, пошел качать их Anti-Malware и паралельно Zillya Internet Security.
Перед тем как делать обзор, я решил вооружиться какими-то знаниями в области и посмотрел кучу роликов\перечитал кучу статей и обзоров на антивирусные продукты и сформировал приблизительный план и критерии по которым стоит тестировать антивирусы. Для тестирования я решил использовать виртуальную машину на Hyper-V, к сожалению свободной реальной машины у меня нету, а свой засорят не очень хотелось. Пришлось выкручиваться, поставил Win7 виртуалку и сделал её полностью под анг юзера(языки\время). Приступим, надеюсь вам понравиться!
Часть 1. GridinSoft Anti-Malware
1. Первые впечатления
Что касается установки, то тут всё выглядит хорошо. Офф сайты выглядят норм, кастом инсталлер, простая установка, без всяких опций и наворотов.
Сразу после установки и запуска GridinSoft Anti-Malware мне показало окно что опция On-Run Protection(защита реального времени) доступна только для зарегистрированных пользователей. Можно закрыть окно и продолжать в бесплатной версии, а можно нажать на "Get a License" и купить у них лицензию. Я решил пойти третим путем и написать в саппорт, чтобы попросить у них ключ для тестирования. На мое удивление ключ мне дали почти сразу, сказали обращаться к ним, в случаи возникновения каких-либо вопросов. Попутно я спросил, чем отличаются платная версия от бесплатной. В ответ получил приблизительно следующее "В платной версии доступна функция On-Run Protection и возможность удаления всех обнаруженных угроз. В бесплатной вы можете удалить только 50% единожды".
Перед тем как я ввел ключ, я решил посмотреть на бесплатную версию. Сканирование в ней начинается по умолчанию через 5 секунд, можно отменить на усмотрение пользователя. Все сказанное мне в саппорте оказалось правдой. Отмечу так же, что все остальные функции, о которых не упомянули, доступны и в бесплатной версии.
2. Сканирование и обнаружение
Этот этап я буду проводить с помощю виртуальной машине, на которой есть 8 загруженных образцов вирусов, из которых 7 сами образцы и 1 архив с образцами. После чего просто установлю антивирус на свой домашний ПК и попробую запустить его, посмотреть найдет ли он что-то на моей машине(вроде чистая).
На выбор нам предлагает 4 типа сканирования: Quick scan, Full Scan, Custom scan, Removable Scan.
Попробуем быстрый скан, образцы лежат в директории "C:\Users\***\Downloads\Samples", 8 штук, смотрим, как прошло обнаружение:
Обнаружило 7 из 8 файлов, сканирование завершено за 01:03, проверило 4436 файлов, настройки скана были максимально жесткие. Для справки - на виртуалке сделал винт 130гб на один локальный диск, забито 26 гб, почти чистая винда. Архив оно не обнаружило.3. Доболнительны плюхиПолазив по вкладкам Settings, можно найти интересные настройки, касающие многих аспектов программы. Можно отметит настройки сканирования:
В подвкладке General (выше на скрине) есть опция Create Restore Point. Что она делает я понял, но вот когда она это делает, я так и не понял. В саппорте мне сказали, что эта опция создает рестор поинт перед тем, как пользователь начнет удалять файлы, а не помещать их в карантин. Выглядит как запасной план на случай, если антивирус удалит что-то не то. Разумно, но выглядит как велосипед.Во вкладке Tools можно найти Reset Browser Settings с такими параметрами:
Можно выбрать браузеры, какие опции в них сбросить. Есть так же 3ая колонка, которая имеет 3 опции: соброс файла hosts, сброс настроек IE прокси и ДНС кэш. Довольно интересное решение, могу представить себе ситуации где это можно использовать (Привет Mail.ru).Можно так же написать отправить в саппорт информацию по своей системе, если вы уверены, что она все еще заражена после сканирования.4. Защита реального времени (On-Run protection)Как и говорилось, в бесплатной версии нельзя использовать эту функицю. После ввода ключа я смог оценить эту защиту. Я сохранил семплы и решил их позапускать при включенной защите:
Это пример одного из них, что-то тут работает - уже хорошо. В итоге оно заблокировала все файлы, пока я их пытался запустить.5. Цена2пк\пол года - 200 грн.2пк\1 год - 300 грн.2пк Вип вечная - 1000 грн.(такая информация на момент публикации поста)По умолчанию я не нашел информации на сколько компьютеров у них лицензии, пришлось писать в саппорт и спрашивать там. Переходим к другому представителю антивирусов из УкраиныЧасть 2. Zillya Internet Security
(все тесты проводил на той же виртуалке, предварительно откатив до начального состояния)
1. Первые впечатления
Офф сайты тоже хороши, кастом инсталлер, тоже быстрая установка.
К сожалению, уже на стадии запуска я столкнулся с проблемами:
Суть сей проблемы оказалось таковой - не показывались версия базы данных и количество сигнатур, такое впечатление что их просто нет. В этом состоянии я мог начать сканирование вообще никак, кнопка не работала. Немного поклацав и подумав, я понял почему так - программа уже обновлялась (в трее вертелся значек + процесс забирал %ЦП, вполне логичное предположение) и пока она не обновится, я не мог сделать ничего. Увы, после часу ожиданий ничего не происходило, наверное что-то где-то зависло. Закрыл прогу через диспетчер, отрклы снова - та же фигня. Решил перезагрузить виртуалку и алилуя - все работало, но первое впечатление уже испорчено. Возможно антивир просто плохо работает с виртуализацией, но утверждать не могу.Примечение: Тут есть 15 дневный триал, потому лицензию просить не будем.2. Сканирование и ОбнаружениеТут на выбор у нас есть 3 типа сканирования: Quick Scan, Full Scan, Custom Scan.Попробуем быстрый скан при тех же условиях:
Обнаружило только 2 файла из 8. Архив так же не нашело. Сканирование завершено за 04:11, проверило 22295 файлов.3. Дополнительные плюхиЧто касается дополнительного функционала, то тут хоть жопой жуй:
Сюда впихнули много полезных наворотов вроде "Optimizer", встроенного фаервола и виртуальных клавиатур и стирателя(File eraser).Разберу значимые:К примеру Optimizer это как портативный CCleaner или GlaryUtilities, только в более обрезанной форме. Может пригодиться.Виртуальная клавиатура позволяет вводить пароли, без отправки сигналов с физической, таком образом делая невозможным отследить, какие клавиши нажимает пользователь. Может пригодиться, но лично я считаю ненужон.Почтовые функции антиспама и Мейл протектора я не тестировал, ибо они работаю с почтовыми клиентами (насколько я понял).Стиратель (File eraser) действительно полезная функция. Но при первом использовании у меня зависла программа, пришлось перезапускать. Заработало со второго раза. В итоге из 5 попыток зависло 2 раза, почему - не знаю.Можно так же связаться с сапортов в случаи не решения своей проблемы.4. Защита реального времени(Guard)Тут сказать что-то сложно. В меню Guard показывает обнаружение 3х файлов, но в самой папке все файлы на месте. Почему не всплывалось никаких окошек, хотя в настройках стоит нотификейшен:
При запуске не обнаруженных файлов тоже никаких нотификейшенов и они загружались в память. Те 2 обнаруженных во время скана файла были заблокированы.5. ЦенаНа офф сайте можно найти очень много вариаций лицензий со всеми данными, вот "топ предложения":1 пк\1 год - 180 грн.2 пк\1 год - 288 грн.2 пк\2 год - 432 грн.(такая информация на момент публикации поста)Часть 3. "Есть два стула..."
Вот я и добрался до основной части, сравнение и выражение своих мысле по поводу двух антивирусов украинского производства - GridinSoft Anti-Malware и Zillya Internet Security.
Хочу сразу отметить несколько вещей:
1) Вы спросите почему так мало образцов (всего 8), а я отвечу - да ну нахуй. Никогда бы не подумал, что найти образец вируса в интернете даже с помощью гугла будет трудно. Нашел пару ресурсов которые предоставляют это без регистрации и СМС, но все же были ограничения. Идею с простым прокликиванием рекламы на сомнительных сайтах я отбросил, поскольку не знал бы точное количество вирусов, которых я мог подхватить.
2) Не стоит воспринимать этот пост как Обзор, я просто рандомный анон, который выкладывает результаты своих личных тестирований по просьбе другого анона, может кому еще будет интересно.
3) Пишите ваши мысли по этим продуктам и по качеству моего "обзора", если народу будет интересно, то поможет мне в будущем.
4) Как я уже и говорил, я не особо компетентен в этой сфере и мои мысли косаются только этих двух программ, не области в целом.
Теперь к главному. Если сравнивать в общем, то почему-то GridinSoft Anti-Malware мне понравился больше, чем Zillya Internet Security. Я бы отдал свое предпочтение именно этому продукту. Но давайте по порядку.
Уже на момент зависания Zillya я проникся не очень приятными чувствами к этому антивирусу. Но как я писал в начале, я тестировал на виртуалке и на реальной машине (которую не заражал, интересно было посмотреть обнаружет ли что-то). На реальной машине Зилля показало себя лучше, не зависла при первом запуске. Но есть такой момент:
При том, что система вся на Английском и время тоже - тут почему-то текст пишеться на Украинском. Может вычислили по айпи(не запускал впн), но почему тогда весь текст не Украинский? Сам факт зависания зилля я могу списать на недостаточно производительную виртуалку или Зилля плохо работает под виртуализацией. Открыв диспетчер задач я заметил что Зилля потребляет более 300мб оперативы и почему-то постоянно жрет ЦП (от 5 до 30% в общем, нестабильно, прога в состоянии простоя):
Это может быть результат того самого навороченого функционала.Для сравнения результат GridinSoft Anti-Malware в состоянии простоя:
Еще один момент который меня немного раздразил:
Ввести капчу чтобы закрыть программу. Тут я немного пригорел, но эмоции в сторону. Для безопасности вполне логично, механиз самозащиты. Но капча, как по мне, это зашквар.
У GridinSoft тоже не все так радужно, но по крайней мере по функционалу я там не заметил косяков (детект в отдельную тему, есть где критиковать) и никаких зависаний (как на виртуалке, так и на реальной). Есть такой момент:
Предлагает твитнуть о том, что ты почистил систему с помощью GridinSoft. Но тут хотя бы по желанию, хочешь шкварься, а хочешь нет, закрывай окно и все. Потому тут не сильно пригорает.ДизайнНадо сказать пару слов о дизайне программ. Если бы не косяки в переводе Zillya и их неудобный интерфейс (меню закрывается если увести с него мышку, кнопка Бек ведет на хоум экран, а не обратно в меню, не интуитивные пункты меню), я бы отдал предпочтение их дизайну интерфейса, но увы.ЦенаПо ценам продукт Zillya выходит дешевле своего конкурента, GridinSoft, хоть и разница небольшая. Кому-то может быть странно, почему так, если в Zillya больше потенциальных плюшек, чем в GridinSoft. Но тест выше показал, что возможно не все так хорошо с этими самыми плюшками. В какой-то момент, мне показалось что некоторые из них (usb-protection, mail protection, antispam, firewall, virtual keyboard, optimizer) ввели только для галочки, кажутся сырыми и недоделанными. Может со временем они и станут лучше.Сканирование и ОбнаружениеВот тут, пожалуй, напишу развернуто, ибо похоже что именно эта часть интересует абсолютно всех пользователей больше всего. В моем прошлом посте, юзер пишет про странный детект GridinSoft Anti-Malware(http://polit.reactor.cc/post/2769889#comment12746268). Тут я понял, что все зависит от точки зрения пользователя.
1. Когда я запустил на реальной машине Zillya, то он нашел 1 результат в папке Темп:
Лаунчер для Max Payne 3, давно качал крякнутый.2. Когда я запустил на реальной машине Гридинсофт, он нашел папку стим, перед этим заблокировав процесс Steam.exe:
Вначале я подумал что это ложное обнаружение, блокировать стим и удалять целую папку. Но вспомнив, что в индустрии антивирусов не все так просто, я начал гуглить этот самый Steam.ехе по пути c:\users\\appdata\roaming\steam\reversed, нашел много тем, в том числа и на стимкоммюнити(https://steamcommunity.com/discussions/forum/1/35221584425122691/?l=russian), о том, что это вирус CoinMiner и стоит удалить папку. В таком случаи все логично. Разберу по порядку. Насчет Zillya. Наш менталитет таков, что мы любим халяву, кряки и т.д. Кому-то может нравиться то, что антивирус детектит кряки, кому-то нет. В СНГ странах таких не любят, но уже привыкли, потому не странно, что задетектило кряк (предполагаю что это крякнутый лаунчер, а не оригинальный).Что же до обнаружений GridinSoft. По сути, вирусом является только один файл "Steam.exe", его антивирус и заблокировал (Zillya между прочем не показал его). Сама папка после этого не должна представлять угрозы, хотя и гридинсофт показал файлы как вирусы во время сканирования. Вот тут и вступает в действие разность во взглядах. Если скопировать файл из папки Anti-Malware в папку Reversed, он и этот файл посчитает вирусом. Можно предположить, что антивирус смотрит только на наличие папки и не смотрит, что внутри неё. По сути своей папка бесполезна и её удаление никак не скажеться на системе, только место занимает. Возможно есть другие обоснования этого подхода, возможно тут проблема не в обнаружении как таковом, а в том, как его поднесли пользователю (как вирусы, а не как нежелательные файлы). С одной стороны у нас папка, установленная уже удаленным вирусом и не представляет угрозы, с другой - показать пользователю, что такая папка у него есть и он был заражен тоже стоит (наверное). Тут уже кому как, решайте сами. Но я считаю, что в этом подходе что-то есть, попользуюсь и посмотрю что да как. Все же стоит отметить, что у пользователя с моего прошлого поста были и ложные обнаружения, безусловно минус. Хотя кому-то может и понравится такая жесткая политика.Вот пример такого детекта (оригинал от пользователя Idler в первом посте):
По поводу сканирования могу отметить следующее - в Zillya быстрый скан просканировал 22295 файлов, в GridinSoft 4436 (тут и разница во времени), либо первый слишком много файлов берет для быстрого скана, либо второй берет мало. Но по скорости сканирования Zillya впереди - ~89файлов\сек. против GridinSoft - ~79ф.\с. Разница небольшая, но факт.
Вывод
Пока я писал весь этот текст, у меня еще паралельно был запущен Zillya, я решил открыть, попробовать другие типы сканов, но открыв его, напоролся на то же самое подвисание обновления, описанное в Части 2 пункт 1:
Кнопка Finish не работает, скан не начинается из за обновления. Вообщем ганьба, господа. Постоянную недоделанность чувствую в этом антивире, большой минус, хотя бы по этому я уже выбираю GridinSoft. Ну и на последок, как гражданин Украины я удивлен и действительно рад, что у нас есть такие продукты. Развиватесь и процветайте.П.С. Напомню еще раз, оставляйте ваши комментарии, буду рад узнать ваши мысли по поводу поста и продуктов. Политота идет лесом в другой пост(http://polit.reactor.cc/post/2769889), там стоит нужный тег. Спасибо за внимание!
Отличный комментарий!