Outpost Antivirus. Тест-обзор

Outpost Antivirus Pro — новое антивирусное решение от компании Agnitum, известной на рынке компьютерной безопасности линейкой продуктов, предназначенных для сетевой защиты. Данный персональный антивирус, по словам разработчиков, способен защитить конечного пользователя как от обычных троянов, червей, шпионов, так и от новой угрозы — руткитов. Сегодня нам предстоит проверить эти слова, проведя данный тест-обзор.

Интерфейс

Открыв главное окно программы, сразу же замечаешь, что, разработчики решили придерживаться привычной схемы оформления, применяемой во всех продуктах этой линии. Несомненно, это является плюсом, т.к. клиентам, которые раньше пользовались услугами данной компании, не придется заново привыкать и изучать интерфейс. В левой части окна располагается навигационная панель, позволяющая достаточно быстро переключаться между основными компонентами антивируса. Среди них — Антивирус + Антишпион, Карантин, Контроль Локальной и Веб-безопасности, Журнал событий. В правом верхнем углу находятся основные элементы управления антивирусной системы, помогающие легко сориентироваться и выбрать необходимое для пользователя действие: Проверка Системы, Настройка, Обновление и Справка. Через окно настроек легко можно сменить язык интерфейса, поставить защиту паролем, установить уровень безопасности, защитить от кражи конфиденциальные данные, блокировать посещение вредоносных сайтов и многое другое. Подводя итог первичного осмотра, хочется отметить в первую очередь эргономичный дизайн интерфейса и гибкую систему настроек внешнего вида продукта. Но на этом я хочу прерваться и оставшуюся часть обзора посвятить тестированию технических возможностей данного антивируса.

Технические характеристики

Сразу оговорюсь, что все последующее тестирование данного продукта проходило при максимальном уровне безопасности. При своей инициализации Outpost Antivirus Pro пытается выполнить быструю проверку системы путем сканирования уязвимых мест. В общем, эта процедура является стандартной для любого антивируса, и ее наличие — скорее необходимость, нежели дополнительная опция. Компания Agnitum была одним из первопроходцев по внедрению таких технологий, как Проактивная Защита и Контроль Компонентов. Данный продукт не стал исключением и тоже впитал все достоинства применений этих методик. Устанавливаемый в систему драйвер с говорящим названием sandbox.sys и является ядром проактивной защиты. За счет перехвата большого числа функций в ядре он обеспечивает самозащиту, запуск доверенных приложений, предотвращает попытки внедрения в чужое адресное пространство, запуск драйверов, запись в критические места реестра и т.п. Именно благодаря этому механизму антивирус без особых трудов справляется с неизвестными модификациями троянов, червей, шпионов.

Было протестировано несколько самописных (клавиатурный шпион, руткит режима пользователя, попытки записаться в места автозагрузки) программ, которые выполняют действия, характерные для данных подклассов вредоносных программ. И с каждой из них проактивная защита справилась с успехом. Она успешно перехватила все посягательства на систему и при выборе соответствующего действия заблокировала всю вредоносную активность. Если пользователь классифицировал приложение как безопасное, и при последующем запуске его контрольная сумма стала отличной от первоначальной, проактивная защита сообщит, что файл был изменен, и предложит диалог выбора действий. Т.к. технологии руткитов, работающих в режиме пользователя, основываются на внедрении dll-библиотеки или создании удаленного потока в адресном пространстве процессов, то проактивная защита автоматом пресекает попытки подобными методами скрыть свое присутствие. Ситуация с kernel-mode-руткитами обстоит гораздо интересней, т.к. для их работы необходимо установить драйвер. Разумеется, как уже было ранее сказано, проактивная защита отреагирует на подобную активность. Но если допустить такую вероятность, что руткиту удастся каким-то образом (например, используя ошибку, допущенную разработчиками при проектировании HIPS'a) загрузить свой драйвер, то Антивирусная система не сможет его обнаружить. В качестве примера использовалась утилита HideToolz. Была намеренно разрешена установка драйвера — ни драйвер, ни процесс (также скрытые процессы были пропущены во время сканирования системы) не были обнаружены. Поэтому проактивную защиту нельзя считать полноценным механизмом противодействия руткитам.

А сейчас перейдем непосредственно к проверке сигнатурного сканера и эвристики. Для глобального теста была подготовлена большая коллекция вирусов — 37.442 экземпляра. Итак, результаты по истечению сканирования оказались следующими: обнаружено вредоносных программ — 30.051; обнаружено подозрительных объектов (была задействована эмуляция и эвристика) — 1469. Т.е. процент обнаруженных вирусов составил приблизительно 84,18% . Довольно неплохие результаты для антивируса, который совсем недавно дебютировал. Кстати, была замечена небольшая особенность: каждому найденному вирусу присваивается уровень опасности — как говорится, мелочь, а приятно:). На следующем скриншоте вы можете увидеть результаты сканирования 10 выборочных вирусов до применения полиморфного криптора. Результат — 7/10. После обработки каждого вредоносного файла полиморфным криптором мы видим замечательную картину. На этот раз было зафиксировано 10/10. Удивительно, не так ли? Судя по всему, эмулятор не стал раскручивать дальше цепочку кода для определения конкретного вируса и остановился на том моменте, что это мутированный вредоносный код.

Итоги

В целом Outpost Antivirus Pro производит хорошее впечатление. Помимо замечательной проактивной защиты, нельзя не отметить фантастическое быстродействие данного продукта. Для сравнения скажу, что все тестирование проходило на виртуальной машине. И действительно, было ощутимо заметно, что данный антивирус работает на ней быстрей, нежели многие известные антивирусы на реальных компьютерах. Также великолепно сработала функция защиты от кражи конфиденциальных данных — всевозможные попытки были успешно предотвращены. В общем, это один из антивирусов, идеально подходящих как для рядового пользователя, так и для небольших фирм и сочетающих в себе все современные технологии.

Ne0n, SASecurity gr., q@sa-sec.org