...
...

Предохраняйтесь… Большой тест антивирусов

Продолжение. Начало в КГ №№ 12, 13, 14

Итак, давайте, пожалуй, продолжим издеваться над антивирусами. Сегодня мы вплотную займемся антивирусом NOD32 Antivirus System и Dr. Web. Посмотрим).

Сравнительно недавно появившийся на рынке антивирус NOD32 уже стал довольно популярным. Если раньше практически у каждого пользователя стоял Касперский, то теперь стоит Нод32. Вызвано это может быть одним из двух: качеством или скоростью. Что ж, проверим и вынесем свой вердикт.

Информация о продукте, реклама и установка программы

Информации не сказать чтобы много, но достаточно. Есть описание основных технологий и модулей, которые в ней используются. Также имеется ссылка на рисунок со структурой программы ( сайт ). В общем, описание хорошее — нет напыщенности, и есть все, что необходимо. Найти его вы сможете, пройдя по этой ссылке: сайт Рассмотрим, что же рассказывается на этой странице о нашем друге: "Комплексное решение для защиты в реальном времени от вирусов, червей, троянов, spyware, adware, phishing и хакерских атак. Эффективное обнаружение, наилучшая производительность и малое влияние на системные ресурсы.

Комплексная защита
NOD32 — это комплексное антивирусное решение для защиты в реальном времени от широкого круга угроз. Eset NOD32 обеспечивает надежную защиту от вирусов, а также от других угроз, включая троянские программы, черви, spyware, adware, phishing-атаки. В решении Eset NOD32 используется патентованная технология ThreatSense . Эта технология предназначена для выявления новых возникающих угроз в реальном времени путем анализа выполняемых программ на наличие вредоносного кода, что позволяет предупреждать действия авторов вредоносных программ.

Высокая производительность
Эффективное обнаружение вредоносных программ не обязательно должно замедлять работу компьютера. NOD32 по большей части написан на языке ассемблера и неоднократно выигрывал награды за высочайшую производительность среди антивирусных приложений. NOD32 в среднем в 2-5 раз быстрее, чем его конкуренты (источник: Virus Bulletin). С переходом на NOD32 производительность вашей системы повысится.

Малое влияние на системные ресурсы
NOD32 экономит ресурсы жесткого диска и оперативной памяти, оставляя их для критических приложений. Установщик занимает всего 8,6 Мбайт, а приложению требуется менее 20 Мбайт оперативной памяти (это значение может варьироваться с изменением технологии обнаружения). Обновления технологии ThreatSense, включающие записи эвристической логики и вирусные сигнатуры, обычно имеют объем 20-50 Кбайт. Переход на NOD32 поможет сохранить ценные системные ресурсы.

Простота управления
Обновления программы и вирусной базы данных выполняются автоматически в фоновом режиме. Если NOD32 используется на личном или домашнем компьютере, можно просто включить функцию автоматического обновления и больше никогда об этом не вспоминать. Предприятия и организации с крупными распределенными сетями могут использовать мощный компонент удаленного администрирования (Remote Administrator), позволяющий разворачивать, устанавливать, наблюдать и контролировать тысячи рабочих станций и серверов NOD32.

NOD32 обеспечивает максимальную защиту при минимальном потреблении ресурсов и высочайшей скорости работы. В рамках NOD32 предлагаются различные уровни защиты для организаций, рабочих мест, файловых серверов или почтовых шлюзов. Выберите наиболее подходящее для вас решение". На протяжении всего рассказа о том, какой Нод хороший антивирус, акцент делался на его малом потреблении ресурсов и максимально возможной защите при таком потреблении. Что же, будет возможность убедиться/разочароваться. Приступим. Установщик и вправду весит немного и сначала предлагает распаковать файлы в установочную папку, а потом установить. После установки папочку за собой он убрал, что меня обрадовало. Установка прошла быстро, меня попросили сделать перезагрузку. Делаем.

Первые впечатления. Дизайн

Никаких признаков присутствия антивирусной системы Нод32 при загрузке не было. Но при старте аккаунта появился логотип — скажу, что логотип приятный: так сказать, всевидящее око). Внушает доверие. Оформление контрольного центра очень простое, при этом не вызывает отвращения и приятно смотрится (рис. 1). Приятные зеленые оттенки всегда не напрягают глаза, что является, пожалуй, ключевым в хорошем оформлении. Нагрузки на систему и вправду нет — машина работает быстрее, чем при Авасте. Да, похвально. Это действительно приятно, когда не нужно отключать антивирус при работе с ресурсоемкими приложениями. Однако это может отразиться на качестве определения. Впрочем, посмотрим. В трее системы, как обычно, висит логотип программы, при нажатии на который открывается центр управления. При сканировании в окошке слева интересная картинка, так сказать, а-ля матрица. Зеленые знаки, расположенные в хаотическом порядке, а вверху гордо написано: "NOD32". При оформлении окон учли и такую вещь, как компоновка. Расположили все компактно, что позволило избежать ненужных проблем с лишним местом.

Функционал

Система состоит из пяти модулей, которые выполняют разные функции. Есть все, что надо, при этом даже добавили отдельный модуль для работы с макровирусами. Весьма интересно, но я считаю, это лишнее. Просто включили бы эту функцию в работу одного из других модулей, и все, но производитель решил сделать отдельно — что ж, особого неудобства нет, поэтому опустим. При выборе любого модуля справа открывается еще одно окно, в котором, собственно, и необходимо работать с функционалом модуля (рис. 2). Настройки каждого модуля выполняются вручную. Очень понравилась в служебных программах функция под названием "Информация" (рис. 3), а в частности возможность без проблем копировать полную информацию в буфер. Очень удобно. В остальном же все как у обычной программы: карантин, логи, расписание и т.д. Ничего лишнего, самое необходимое. И, опять же, ничего критического не упущено. Это говорит о продуманности. В контекстном меню ссылка присутствует, но нет контекстного меню при правом клике на лого в трее. Хотя оно не особо и нужно.

Работа резидентного и файлового сканеров. Нагрузка на систему

При старте системы сканирование оперативной памяти не производится. Но оно производится при старте любого сканирования. Посмотрим, насколько грузится система при его проведении (рис. 4). Как видим, загрузка очень маленькая — максимальная отметка загруженности процессора не поднималась выше 35%. Очень неплохой результат. Посмотрим, как он справится с нашей коллекцией. Итак, (рис. 5) было обнаружено 88 вирусов из 108. В процентах это будет 95,1%. Что же, вполне хороший вариант для пользователя, которому необходим антивирус, не загружающий систему и с нормальным индексом определения. Посмотрим, что у нас с нагрузкой (рис. 6). Ну, тут результаты не самые лучшие. При сканировании локальных ресурсов вы не сможете активно работать с программами. Наилучший вариант будет пойти посмотреть телек. И если уровень загрузки процессора зависит от сложности и объема файла, то файл подкачки используется практически в полную меру.

Эвристика

Вот что касается эвристики, тут придраться очень трудно, т.к. все предоставленные мною экземпляры были с легкость определены. А предоставил я как всегда три. При этом пакованный вирус был обработан поочередно сначала одним пакером (после был обнаружен), а потом еще одним пакером (опять же, был обнаружен). Вирус с измененной сигнатурой был занесен в список "возможно, файл заражен неизвестным вирусом". Вот так. Отличный результат, весьма и весьма похвально.

Окончательные выводы

Не зря его так хвалят пользователи. Показатели хорошие, кроме уровня загрузки системы при сканировании по требованию. Однако это не слишком большой недостаток, покрывающийся тем, что резидентный сканер потребляет минимум ресурсов. Простота использования: проще некуда. Отлично подходит для всех категорий пользователей. Мне понравился: ничего лишнего, все понятно. 7 из 7. Дизайн: приятный зеленый цвет, но не сказать чтобы поражал, поэтому законные 6 из 7. Функционал: полный. Все необходимое имеется, от ненужного пользователь избавлен. 7 из 7. Качество сканинга и уровень определения в целом: в целом идет на законные 6 баллов. Процент хороший, качественный движок — все, что нужно хорошему антивирусу. Качество эвристики: бесспорно, 7, т.к. определены были все засланные мною зверьки. Использование ресурсов системы: ну, что сказать обещанное малое потребление есть, но немного большая нагрузка при сканировании локальных дисков. Думаю, 6 баллов. Примерный процент полноты баз: исходя из некоторых расчетов, получаем значение 95. Полнота баз — 95%, естественно, примерно).

Вот такой результат, теперь давайте перейдем к следующему претенденту.

Антивирус Dr.Web — конкурент Касперского, и, как люблю я говорить: "Хочешь веселья? Поставь на одну машину каспера и веба)". Давайте посмотрим, что же нам предлагает доктор веб. Всем известно, что лучше всего у веба работает сканер — давайте убедимся (надеюсь) в этом.

Информация о продукте, реклама и установка программы

На сайте я чуть не заблудился). Немного непривычно было просто искать описание не через ссылку "Продукты", а через ссылку "Программы". Но все ж нашел. Итак, размер описания не очень велик, но снизу есть ссылочка на полную документацию. Я лично человек ленивый и лучше почитаю прямиком со страницы, чем буду качать. Страница с описанием находится здесь: сайт . Ну-с, давайте рассмотрим: "Мощный антивирусный комплекс программных средств, обеспечивающий непревзойденную защищенность электронных вычислительных систем под управлением Windows 95-XP. Сочетает в себе простой и интуитивно понятный интерфейс и мощнейший алгоритм по обнаружению вирусов и вредоносных атак в любых типах файлов.

Среди достоинств Dr. Web для Windows 95-XP можно выделить такие параметры:
. Мощные средства обнаружения как известных, так и неизвестных типов вирусов.
. Малое количество потребляемых системных ресурсов и возможность работы даже на устаревших моделях компьютеров.
. Интуитивно понятный интерфейс, с возможностью настроек каждого компонента, антивирусного пакета Dr. Web для Windows 95-XP.
. Использование уникальных методик проверки позволяет детектировать вирусные атаки на стадии проникновения.
. Небольшой размер дистрибутива антивирусной программы.
. Компактность обновлений антивирусной программы и наличие автоматического обновления по сети Интернет позволяет детектировать самые новые вирусы и не допустить их проникновения.

В состав дистрибутива входит:
. Сканеры Drweb32.exe с графическим и drwebcl.exe консольным интерфейсом, позволяет производить глубокие сканирования файлов и
операционных систем по запросам пользователя. Сканер с консольным интерфейсом позволяет использовать его как внешнее приложения для проверки полученных файлов в таких программах как ReGet, FlashGet и.т.д.
. Резидентный сторож Spider Guard — осуществляет проверку получаемых файлов в реальном режиме времени. Использование резидентного
монитора позволяет осуществлять проверку любой поступающей информации и своевременно детектировать любые типы вирусных атак,
предотвращая заражение Вашего компьютера.
. Почтовый сканер Spider Mail — предназначен для проверки почтового трафика как исходящего так и входящего. Данная утилита предназначена исключительно для детектирования вредоносного кода в почтовых сообщениях.
. Автоматическая программа обновлений Dr. Web Update, утилита автоматического обновления. Теперь для обновления антивирусной программы достаточно находясь в сети Интернет нажать кнопку "Обновить", программа сама определить необходимость обновления модулей Вашей
антивирусной программы, скачает и подготовит программу к работе с новыми обновлениями.
. Планировщик заданий Dr. Web — многофункциональное средство для запуска заданий компонентам Dr. Web. Таких как сканирование по
расписанию, обновление по расписанию и.т.д."

Хы… Самое интересное — что в описании было очень много очепяток, что не делало мое прочтение комфортным). Я, конечно, понимаю, что бывает всякое, но… Ладно, опустим. Опять же, на похвалы не скупился производитель. А вот достоин ли антивирус этих похвал, мы и посмотрим. Процесс инсталляции не вызывает трудностей. Сразу после таковой программа активации предлагает или купить лицензионный ключ, или скачать пробный с сервера. Это означает, что с пробным ключом программа не поставляется, а, опять же, отсюда следует, что у пользователей без Интернета могут возникнуть трудности при работе. Что же, будем довольствоваться пробной версией (рис. 7).

Первые впечатления. Дизайн

Признаков присутствия нашего друга на машине при загрузке не было, как и у Нода. После загрузки я увидел в трее три значка. Не знаю, почему, но не нравится мне, когда разные модули имеют разные значки. Немного достает меня это, но посмотрим с точки нейтральной. Это создает ненужную мешанину в трее, когда целая куча значков. Это попросту неудобно. Что же у нас в трее висит? А висит у нас сканер почты (рис. 8), информатор (рис. 9) и собственно сам резидентный модуль. Что касается дизайна, то сколько помню я этот антивирус, столько дизайн практически не менялся за исключением форм кнопок и т.д.

Цветовая гамма уже стала визитной карточкой программы. Вот только нету светофора, который являлся бы включателем сканинга — теперь это простая кнопочка со стрелкой, как у проигрывателей "плей". Так оно даже лучше, т.к. обычный пользователь каждый день пользуется DVD-проигрывателями, музыкальными центрами, и такая кнопочка ассоциируется у него с началом действий — в данном случае сканирования (рис. 10). В общем, дизайн немного приевшийся, но вполне нормальный и не вызывает отвращения.

Функционал программы

Что касается функционала, то он практически не поменялся. В настройках (рис. 11) пунктов не много, но на панелях главного окна вполне умещается все необходимое. Есть возможность замены окна с выбором объектов сканирования на окно статистики — удобно, т.к. не надо лезть за логами, а можно просмотреть все одним нажатием мыши. На передней панели как всегда есть кнопка обновления (рис. 12), собсно, как одна из главных кнопок. Больше сказать нечего, т.к. больше нет ничего особенного. Переходим к другому пункту.

Работа резидентного и файлового сканеров. Нагрузка на систему

При старте системы сканинга оперативной памяти нет, есть при старте сканера. Вот и посмотрим, как ведет себя кривая нагрузки процессора при проверке оперативной памяти (рис. 13). Ну что же, вполне достойно. Сильной загрузки нет, но и низкой она не является. Файл подкачки используется по минимуму. Средне-оптимально). Поехали дальше. При сканировании нашей коллекции было определено 84 вируса — это у нас эквивалентно 90,1%. Ну что же, есть результаты и получше. Честно говоря, я ожидал большего от продукта, о котором все говорят, что это отличный сканер. Бывают в жизни огорчения. Загрузка системы не на самом лучшем уровне — я бы сказал, что машина порядком подгружена (рис. 14). Поработать в сторонних приложениях вы если и сможете, то удовольствия вам это не доставит. Вот так.

Эвристика

Немного прихрамывает, но все же из предложенных мною вирусов не был обнаружен только измененный мною. Пакованный с успехом был расшифрован и обезврежен. А на сгенерированный антивирус вообще ругнулся генератором — вот так. Сигнатура же, над которой поработал я, обнаружена не была. Это говорит о том, что при появлении нового вируса тольку от эвристического анализатора кода не будет, поэтому призываю пользователей веба: "Обновляйте базы!"

Окончательные выводы

Старый игрок на рынке антивирусов, но на сегодняшний день его успешно обгоняют не то что некоторые сверстники, но и молодежь. Однако индекс 90% — это очень неплохо. Простота использования: проще некуда — большей частью это обусловлено тем, что все к нему привыкли). 7 баллов из 7 возможных я отдаю в его пользу. Дизайн: приятный, но немного приевшийся. Стало быть, дадим 6 баллов — думаю, этого достаточно: пускай разработчики потрудятся сделать что-нить новое — тогда и обсудим "семерку". Функционал: все, что нужно. Но немного омрачает действительность наличие отдельных значков на разные модули. 6 баллов. Качество сканинга и уровень определения в целом: уровень неплохой — 90%, — но есть и лучше, поэтому 5 из 7 возможных. Господа, нужно работать над движком в первую очередь. Ведь покуда не будет изобретена проактивная защита с вероятностью хотя бы на 80%, реактивной все равно будут пользоваться. Качество эвристики: вот если бы не одна оплошность, то было бы 7, а так 6. Использование ресурсов системы: система грузится, особенно при сканинге — 5. Примерный процент полноты баз: ну, исходя из показателей индекса определения, базы у нас, пожалуй, тянут на 88-90%.

Подошло к концу тестирование еще двух антивирусов. Напомню, что протестировали мы уже следующих претендентов: Safe'n'Sec, VBA, Panda Antivirus, Kaspersky, Avast, и сегодняшние герои — NOD32, Dr.Web. Итого остались MCAfee, SopHos, TrendMicro, Norton. В следующий раз мы будем смотреть, на что способны MCAfee и Norton.

P.S.: Уважаемые читатели КГ! В последнее время на мой ящик приходят письма, в которых говорится о неверном проценте индекса определения. Вношу ясность в это дело. Если вы заметили, в одной из первых статей этого цикла было упоминание о сканировании вирусов в архивах. Итак, в чем же проблема? При расчетах процента индекса определения используется не просто сухое значение вирусов, которые образец определил из коллекции, но и работа его с архивами, разными форматами и разными алгоритмами сжатия. Именно поэтому процент индекса определения не поддается вашим, уважаемые читатели, математическим действиям.

Теперь даю ответ на ответный вопрос: "А почему результаты других исследований не печатаются в статьях?" Все просто: если начать описывать все в полной мере, то количество информации возрастет. И в целях быстрейшего окончания тестирования и подведения итогов, которые, скорее всего, вы так ждете, приходится опускать некоторые вопросы. Но в конечной статье цикла я подробнее опишу то, какие тесты еще приходилось выносить антивирусам.

И последнее: благодаря бдительности наших читателей удалось выявить допущенную мной ошибку. В описании тестирования антивируса производства Panda Software мною была допущена опечатка: антивирус обнаружил не 101, а 86 вирусов.

Евгений Кучук, Spider Agent, spideragent@tut.by

© Компьютерная газета

полезные ссылки
Ремонт ноутбуков, компьютеров, мониторов