категории | RSS

Тестирование антивируса MSE

Всем привет! Меня зовут Олег и мое хобби - тестирование антивирусов на стойкость, обнаружение и прочее. И так, решил я у себя дома протестировать Майкрософтовский антивирус (MSE) на "прочность". Начал с самого простого: написания Бат-файла, который элементарно будет убивать процесс антивируса, затем удалять его исполняемый файл. После сохранения готового файла, я проверил его сканером МСЕ - файл чист. Запустил и увидел, что антивирус закрылся и запустить его больше не удалось на моем ПК. Данная статья была написанна мной как личные наблюдения и мнения. После теста, БАТ-файл был мной удален с ПК. Скрин кода прилагаю. Часть кода Бат-файла, скрыл по этическим соображениям. Чтобы "плохие люди" не смогли им воспользоваться для написания трояна

Oleg902
2013-04-06T13:42:32Z
Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 27

#17   Oleg902    

Согласен, но даже и так: если юзер сидит под учеткой с правами админа (обычный пользователь на своем личном пк) - случайно запускает этот батник (по разным причинам, например думая что скачал нужную прогу (а мсе молчит, - значит думает нормальный файл)), и не замечает даже, что в трее пропал значок мсе, и продолжает посещать страницы с вредоносным по и тд, думая что защищен... (кроме того, что батник убил процесс антивируса, он еще и удалил некоторые файлы мсе, в результате чего, данный антивир уже больше не запустится, даже после рестарта). Лично мое мнение, что это огромнейший косяк МСЕ, и данный батник может легко использоваться "нехорошими людьми", для убийства антивируса с последующей закачкой на ПК основного файла вируса... ЭТО ЛИШЬ МОЕ МНЕНИЕ...
-------------
Добавлено в 00.02: Кстати, спасибо, что пишите свои отзывы, коментарии, мнения и делитесь опытом...


0 ответить

#17   Vinogradof    

В 7ке под админом можно внести задание планировщика, который отработает от имени системы, каспер так ложится легко. Но здесь есть одно но... вирусы не батниками обходят и работает это минимум с правами дебагера...
-------------
Добавлено в 23.17: Можно от админа запустить процесс обновления системных файлов, под который попадет каспер, он тоже ляжет, но опять таки, права...У меня все сервисы мсе стартуют от привилегированных учеток, ну не может обычный пользователь их снести...
-------------
Добавлено в 23.19: В Пн. обязательно перепроверю.


0 ответить

#17   Oleg902    

Это очевидно и естественно... Но как бы я не пытался батником бить процесс avp.exe касперского (переписывал коды и прочее в батнике), запаковывал его в exe (компил-л) с запросом прав админа при старте, запускал через правый клик-запуск от имени админа, под админской учеткой и тд - все равно не смог убить процесс каспера... Единственное что смог-вызвать критическую ошибку через батник и отправить ОС в рестарт... Это меня порадовало, ведь тот же МСЕ закрывается при запуске батника в сеансе пользователя с огранич учеткой без всяких проблем..


0 ответить

#17   Vinogradof    

Админ < Система
Любой процесс запущенный в контексте админа либо системы не возможно завершить пользователем с меньшими правами.


0 ответить

#17   Oleg902    

Тест запускался на Юзере (без админских прав), обычным двойным кликом (не правой-запуск от имени админа). МСЕ и МАКАФИ закрылись, КАСПЕР и НОРТОН не закрылись.
-------------
Добавлено в 22.02: А каспер и под Админом этим батником не закрылся. На своей Win7 max 64x пробовал.
-------------


* редактировал(а) knopa 00:03 7 апр 2013

0 ответить

#17   Vinogradof    

Хотел много обидного, наверное, написать...
Ограничусь только тем, что тестить нужно не под админскими правами, а то можно с таким же успехом убить каспера этим же батником, запусти его от имени системы... Ты бы ещё в нулевое кольцо залез и от туда делал...


0 ответить

#17   SAT31    

Сейчас Касперский 2014 (сейчас в бета-версии) вся база его работает на .NET Framework 4, если его нет, антивирус не работает, если удалить нет (тоже есть простые утилиты) - антивирус не работает. Это почти аналогично батнику. Если разрабы не одумаются к релизу 14 версии, будет алес.


0 ответить

#17   Oleg902    

Сегодня на работе протестировал данный бат-файл (с изменениями в коде под каждый тестируемый антивирус) на касперском, нортон и макафи... Каспер и Нортон не позволили себя закрыть, а Макафи легко был убит. ( тестил на ноутах с win7 64x )


0 ответить

#17   maxel85    

Вообще, я абсолютно не удивлен. Практический все программное обеспечение мелкософта есть полный хлам. Единственное, что я от них уважаю - это их офис и, собственно, винда.


0 ответить

#17   Oleg902    

Lohophone
Я написал его просто для теста... Специально скрыл полный текст файла, чтобы его не скопировали. Уверяю, с моего ПК данный файл никогда и никуда не попадет... Просто поделился личными тестами антивируса и отправил разработчику результат, с целью закрытия этого недочета в своем продукте.


0 ответить

Яндекс.Метрика