http://www.drweb.com/static/new-www/files/xaker_article.pdf
Первая версия Doctor Web появилась еще в 1992 году. Но и сегодня, когда на рынке доступна масса антивирусных решений, продукты Dr.Web остаются одними из лидеров отрасли. По правде говоря, с антивирусными решениями мы не экспериментировали довольно давно. Перебиваясь бесплатными программами и своевременными апдейтами, проблем долгое время не знали. Если бы не дело случая, то и знакомства с последней версией Dr.Web вероятно и не было.
Для хранения файлов в Сети уже давно используется замечательный сервис от Яндекса — Яндекс.Диск, который теперь интегрирован в старый добрый «Народ.ру». Залив в один прекрасный день архив с бинарником, появилось сообщение, что файл инфицирован. Ручной анализ показал, что в исполняемый файл действительно был хитро заджоинен троян, при этом установленные на моей машине сканеры заразы не обнаружили. Оказалось, что для антивирусной проверки Яндекс использует решения от «Доктор Веб»: им проверяется как вся корреспонденция их почтового сервера, так и файлы на «народном» хостинге. С чего такая любовь? Мы решили посмотреть на что способен полноценный Dr.Web.
Для теста использовалась демо-версия самого топового продукта для домашнего пользователя — Dr.Web Security Space Pro, представляющего собой комбайн из антивируса и файрвола. При установке антивируса на одну из виртуалок нас поджидал первый сюрприз. Вирус! Дело в том, что прямо во время установки запускается сканер (очень похожий на Curelt!), который осуществляется первичную проверку системы. Оказалось, что мы забыли откатить виртуальную машину до предыдущего Snapshot’a, и в системе остался активный трой, который мы когда-то анализировали на этой виртуалке. Обнаружить его — задача несложная, но безусловно порадовало, что это было сделано еще во время установки. Фактически это означает, что ты можешь установить антивирус на уже зараженную систему без предварительного ее лечения. Позже, обнаружился еще один любопытный механизм для защиты антивируса от атак на самого себя (общая технология называется Dr.Web SelfPROtect). Так, когда ты хочешь выключить все механизмы защиты, всплывает окошко с запросом САРТСНА — и только после ввода правильного кода, антивирус выключается. Несложно понять, зачем это сделано: таким простым способом реализуется вполне действенная страховка на случай, если малварь захочет деактивировать антивирус, эмулируя пользовательский ввод (движение и клики мышки, нажатия клавиш клавиатуры).
Впрочем, одной только защиты самого себя для хорошего антивируса мало. Гораздо интереснее было посмотреть, как Dr.Web детектирует малварь. И тут не придумать способ более наглядный, чем прогнать антивирус в различных реальных ситуациях. Мы обратились к нашим друзьям, активно занимающимся реверсингом малвари, которые с радостью подогнали нам несколько интересных образцов руткитов и троев. Для эксперимента мы постарались выбрать разношерстную малварь, использующую различные, в том числе самые современные, техники сокрытия в системе. Подход к тестированию прост: берем девственно чистую ось, заражаем ее вирусом и, установив антивирус, пробуем вылечить заразу, затем оцениваем результат. Первоначально было желание провести все в рамках виртуальной машины, но ради чистоты эксперимента тестирование было решено перенести на вспомогательную машину. Это нужно из-за того, что часть руткитов успешно определяет запуск в виртуальном окружении и инфицирование системы намеренно не производит («Ага, анализировать меня собрался? Отвали!»).
В качестве ОС на тестовой машине была выбрана Windows ХР со всеми установленными сервиспаками и апдейтами. Проблема возвращения системы к изначальному состоянию после заражения легко решилась с помощью образа, который залили с помощью Truelmage. Далее нужно было разобраться, что считать фактом лечения? Понятно, что одного только сообщения «Я нашел вирус, надо что-то делать!» недостаточно. К тому же мы не сильно доверяем фразам а-ля «Ура, вирус удалось удалить», поэтому всякий раз, после сообщения об успешном лечении, мы будем делать слепок реестра и файловой системы, чтобы посмотреть, что, по сравнению с чистой системой, изменилось после заражения и последующего лечения. Левые ветки реестра, бинарники и скрытые потоки NTFS говорят о том, что малварь, возможно, удалена не полностью — в этом случае результат засчитывался как провальный.
В некоторых случаях срабатывал активный монитор SplDer Guard, а в других — с задачей справлялся сканер, использующий сигнатурный и эвристический анализаторы. Антируткит модуль — это, конечно, не утилита GMER в умелых руках, но со всей участвовавшей в тестировании малварью справилась «на ура». Помимо непосредственно антивирусной защиты, в Dr.Web Security Space Pro есть модуль брандмауэра. Собственно, проявление активности самого Dr.Web • Security Space Pro. А вот рулесы для популярных приложений (аська, почтовик и т.д.) придется прописывать вручную — было бы здорово, если основные профили были включены по умолчанию. Помимо непосредственно файрвола, в продукт включен HTTP-монитор SplDer Gate. По этой причине не надо пугаться появившемуся в Firefox’e новому плагину — это не малварь 
. Система в реальном времени проверяет контент веб-страницы, причем совместима со всеми известными браузерами. Чтобы проверить, насколько хорошо работает анализатор НТТР-трафика, мы посерфили несколько сайтов, что сразу же вызвало сигнал тревоги: SplDer Gate ругался на iframe и зловредные JS-скрипты. Ранее говорилось, что вся корреспонденция почтовых серверов Яндекс проверяется как раз решением на базе Dr.Web, и аналогичное решение доступно и домашним пользователям. Почтовый монитор SplDer Mail проверяет сообщения на вирусы до того, как они попадают в почтовый ящик. А модуль «анти- спам» неплохо распознает рекламные письма как на русском, так и английском языках, и при этом всегда могут распознать даже распространенную малварь, но хорошо закриптованную, было приятно увидеть, что «веб» справился с обнаружением многих серьезных руткитов.
В общем, рекомендуем попробовать продукт.
Комментариев нет:
Отправить комментарий