Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 4 из 4

Тема: Баг тестирование Nano Антивируса версии 0.14.0.7

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23

    Баг тестирование Nano Антивируса версии 0.14.0.7

    Тест 1. Инстал/деинсталл/реинсталл. Взгляд на программу.



    Поехали инсталл.

    Решил пощупать видит ли антизверь сторонние антивирусы при инсталле. Поставил авиру при инсталле увидело.

    Но небольшой нюанс, кнопку Далее надо задисеблить, пока юзер не поставит галочку напротив Пропустить проверку антивирусов (здесь стоит написать не Пропустить проверку антивирусов , а Пропустить проверку стороннего антивирусного ПО, так смотриться и читается уже на уровень выше Вами предложенного варианта)

    Хм... хорошо с одной стороны, плохо с другой. Желательней, а то и прекрасней было бы если бы была возможность что найдя антивирусное ПО стороннего произдодителя, была ссылка на деинстал его. Сами понимаете файловые мониторы, сервисы, процессы могут друг другу не понравиться. Вот это надо донести пользователю.

    Внимание вопрос!!! А где? Где из этого окошка юзер может увидеть эту информацию? Где пользователь сможет прочесть, что два (а то и больше) антивируса на одном ПК это не есть хорошо?

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    пропустил этот нюанс и нажал дальше.



    Тип установки. Ну тут я немного посмеялся.

    Вот объясните: Вы антивирусная компания, соглашусь молодая, но на какой простому юзеру яндекс бар? Для чего?

    Вы в первую очередь антивирусная компания, все должно быть строго, четко, интуитивно понятно. Не надо лишний раз засорять ПК пользователю. У Вас цель защищать, а не насождать его чем-то.

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7




    Далее, Лицензионное соглашение

    Ну этот подпункт (условно назовем его так) должен идти раньше, перед выбором Типа установки Это раз.

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Два. На офф сайте продукта написано:
    Версия: 0.14.0.7 Beta
    Дата: 24.03.2011 19:31:25
    Размер файла: 61 Mb
    Смотрим в лицензионное соглашение, при инсталле, видим 2010. Хм... странновато... Уже середина апреля 2011.



    Далее. Это стандартно ...

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7



    Далее.

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    здесь интересный момент... Отсылать подозрительные файлы в службу поддержки (рекомендуется) и Включить защитный модуль системы (рекомендуется)

    Ладно первый сейчас это модная тенденция всех антивирусных ПО, а второе поважнее будет. И не понятно почему стоит галочка по умолчанию на первом? Как так, отправка подозрительных файлов стоит на ступень выше чем защита ПК?

    Ребят, народ не так подумает. Мысль которая напрашивается само собой, главная цель антивируса наполнить свои базы, а не дать защиту для пользователя.


    Ну и соответственно дирректория установки.

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7





    Удаление продукта

    Поехали, парочка нехитрых комбинаций, у удалено усе. Ну или как усе... спросило только сохранять настройки или нет. Я нажал нет, все деинсталл завершен.



    Ну не может быть в стандартном инсталляторе, все так быстро и просто удалено...

    Проверяю реестр на предмет наличия оставшихся записей, далеко не бегая взял широкоизвестный инструмент AVZ Олега Зайцева. Пара щелчков, а конкретнее Сервис - Поиск данных в реестре слово nano в поиск и процесс пошел ...

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Ну осталось там, много чего.... в реестре теперь уже ненужных ключиков много. Образец оставшихся ключей можете видеть из сохраненного протокола AVZ, что прикреплен к вложению.



    Кстати при деинсталле раз на раз не приходится, иногда из своей корневой папочке nanoav что в Program Files остается один файлик, который просто так без перезагрузки процесса explorer не удалишь. Это файлик, как я понимаю COM-сервер который регистрирует себя в проводнике (правая кнопочка мышки проверка объектов).

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Вообщем утилита полной деинсталляции и зачистки реестра после пребывания антивируса в системе не помешала бы.

    Лог AVZ Export.rar




    Реинсталл программы

    Установил/удалил соответственно опять установил. Все нормально до перехода на подпукт Выбора папки установки (Может слово папки заменить на дирректории?)

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Но тут начинается интересное, инсталлер говорит:

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    А почему?
    А все по тому же:

    Кстати при деинсталле раз на раз не приходится, иногда из своей корневой папочке nanoav что в Program Files остается один файлик, который просто так без перезагрузки процесса explorer не удалишь. Это файлик, как я понимаю COM-сервер который регистрирует себя в проводнике (правая кнопочка мышки проверка объектов).

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Это еще раз доказывает то, что для продукта такого рода необходим:
    1. свой инсталлер
    2. своя утилита зачистки следов пребывания антизверя в системе
    3. строгость, четкость и интуитивная простота пользования

  2. #2
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23

    Восклицание Тест 2. Работа с процессами. Внешний вид. впечатление.

    Как уже видно из предыдущей статьи эксперимент с установкой завершен. Антивирус переустановил. Все работает.

    Поступило предложение обновиться, соглашаюсь.

    В диспетчере три процесса:
    • updater.exe логи
    • starter.exe
    • nanosvc.exe


    Небольшие эксперименты с каждым. Пробуем завершить.
    • завершил процесс updater.exe - успешно
    • завершил процесс starter.exe - успешно
    • одни nanosvc.exe - безуспешно, но придумаем что-нибудь


    Перезапустил все. Все работает. Теперь проверяем как будет себя вести антивирус, если при обновлении завершить сам процесс обновления??

    завершено.

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    и ошибочка:

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Появилась ошибочка. Все замерло. Странно, процесс как ни как обновляет программу, можно и защитить его.


    Продолжаем еще пару экспериментов таких и программа сдалась... Так сказать не выдержала. Первым полетел интерфейс.

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Эххх... тут я вошел в кураж, и решил запустить сканирование чего нить. Как видно из скрина базы я не обновлял. Так как процесс стопорился, видать небольшие эксперименты сбили его так сказать с истинного пути. Ну да ладно!

    так сперва проверим что-нибудь чистое к примеру мои документы

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    ну и ежу понятно что там чисто, получаем лог

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    берем что-то посерьезней!!!
    Распаковал свою специально подобранный архив. Из доброй сотни не старых зловредов...
    Распаковал. Натравил.
    О детекте Вы узнаете в следующем описании, сейчас не про то.
    Глядим как ведет себя интерфейс. Посыпется ли что-нибудь еще.

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Все проверило. Теперь предлагает выбрать действие с зловредом!
    Но вот вопрос, почему продолжает идти время сканирования?
    Это время сканирования, там же на русском языке так написано, а не время ожидания ответа пользователя на действие которое необходимо совершить с зловредом. Не есть хорошо.

    Окно выбора действий с зловредом Вы наблюдаете! То есть если запущено два окна одной программы, то у одного окна выпадает интерфейс, а именно уголки скина.

    Вот теперь пошли одни сплошные нюансы.

    нажал выбор лечить и тыкнул галочку Применить для всех подобных объектов. эти 97 зловредов он лечил минуты две, и для объектов, которые вылечить не удалось, постоянно выскакивали красные информационные таблички, с выбранным программой действием.

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Мне кажеться рядовому пользователю, я не говорю о опытном, эти таблички были бы не к чему, лишнее явно.
    Я конечно понимаю они заостряют внимание на то, что была найдена зараза. Но черезчур информативности, тоже вредно.
    Предлагаю обратить внимание, на то, как это реализовано в антивирусе Касперского, там не будет этих сто окошек, во всю высоту рабочего стола, а только одно. Так же следует сделать и Вам.



    На этом эксперименты с дизайном закончил. Еще немного поглядел, что там да как, и заметил, что главное окошко не фиксированного размера... То есть его можно сдвигать, делать на полный экран и так далее.

    Вопрос: Для чего простому пользователю это?

    Если в некоторых вкладках всего пару строк. к примеру как тут. Помоему фиксированное окно отпимальный вариант.

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Замечаний в переводе, и фразах в гуе не заметил. Справку не листал...

  3. #3
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23

    Восклицание Тест 3. Проверка детекта.

    После визуального ознакомления с гуем антизверя решил оценить способность детектирования зловредов, и возможность их устранения.

    В качестве проверки использовал не стандарные архивы вирусов, которые расположены в сети в свободном доступе, а некогда специально собранные зловреды, специально для проверки детекта антивирусов.

    Зловреды сравнительно не старые, но и не писк моды.


    Поехали...стандартно распаковываем архив, и натравливаем на папочку проверку антвирусом. В исходном виде имели 36 зловредов...

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Проверили, опознание проведено. Выбрано из предложенных вариантов действие с зловредами.

    Опять поехали...эти окошки во всю высоту рабочего стола! Честно сказать, неприятно видеть всю эту "прелесть" дизайнерской мысли.

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Здесь я уже писал, что:
    Мне кажется,что рядовому пользователю, я не говорю о опытном, эти таблички были бы ни к чему, лишнее явно.
    Я конечно понимаю,они заостряют внимание на то, что была найдена зараза. Но чересчур информативности тоже вредно.
    Предлагаю обратить внимание на то, как это реализовано в антивирусе Касперского. Там не будет этих сто окошек во всю высоту рабочего стола, а только одно. Так же следует сделать и Вам.
    Действие выбрано, антизверь всё пролечил, что-то удалил. Появилось окошко "Задача завершена". Ну и соответственно сводная таблица всех результатов.

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7



    Смотрим на скрин.
    Удалено - 20. Пропущено - 7. Вылечено -1. Итого = 28. Зловредов из распакованного архива 36.
    Математика 36-28=8.

    Всплывает вопрос. Если видится инфицированных объектов 36, а действий проведено с файлами только 28. Куда делись еще 8 файлов???


    Дальше. Нажимаем на свойства папки, а там файлов 16... Как так??? Понятно что 7 пропущено, а остальные 8 получается вообще никак не обработались???
    Странновато.


    Так же заметил нюансик один.
    Вот он - Пропущено!!! Почему пропущено??? Разве к примеру нельзя занести зловреда на отложенное удаление при перезагружке оси?

    Проверяем есть ли такая опция в настройках...

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    расстроило... нету. Очень жаль...


    Если антизверь не может обработать абсолютно не занятые ничем файлы, даже не запущенные в ОСи, а пропускает их!!! То что будет если файл будет реально запущен в оси? Будут блокирующие дескрипторы, драйвера??? Страшно думать.


    на папку нажимаю delete папка свободно удаляется, с этими успешно оставленными антизверем зловредами в папке.


    И еще такой вопросик: Я так понимаю все что в архиве, те зловреды которые там найдены, программа не лечит, и не может обезвредить? Выбирает действие пропустить?

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7




    Дальше. Проверил парочку детектов на зловредах упакованных пакерами работает распознается. Но чесно скажу уникальными пакерами не пользовался. Упаковал стандартным upx-сом, увидело.

    В голове промелькнула мысль, как бы узнать реально ли антивирус распаковывает и видит пакеры, или все же по тупому, по контрольной сумме тупо ищет.

    Решил покопаться в логах...
    ООО логи...
    тут можно многое интересное для себя найти...

    Покопался нашел, как все фиксируется и всякие преписки к инфицированным файлам:
    ::FSG::PECompact2 (00000000)
    ::FSG (00000000)
    ::UPX (00000000)
    Даже такое есть:
    ::MEW (00000000)
    ::EncodedScript (00000000)
    ::JScript (00000000)

    Вопрос к разработчикам: Сколько на данный момент официально детектиться и распаковывается упаковщиков?

  4. #4
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23

    Восклицание Тест 4. Методы обхода защиты антивируса, или дыры своей же защиты....

    Еще со ворого теста видно, что два возможных процесса из трех можно завершить удачно. Это:
    • updater.exe
    • starter.exe



    А вот с третьим нужно немного подумать. Ну как подумать... Просто поразмыслить...
    процесс этот зовется - nanosvc.exe



    Способ 1
    Отключаем все что в реестре, и проверяем защищаются ли ключи антивируса в реестре.

    Первым отключим... Хм... конечно же автозапуск!!!

    В реестре копаться не захотел воспользовался программкой Emsisoft HiJackFree. отличная программка, много вкусностей.

    Итак:

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Дальше покапавшись в оси понимаем, что nanosvc.exe - это сервис!
    Находим его в реестре и тоже рубим на корню, о чем свидетельствует следующий скрин!

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7




    Итак, момент чуда, ребутимся!!!

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Ну, комментарии излишни, разочаровал меня Антивирус! Думал по дольше повозиться прийдеться, а тут...


    На всякий случай проверяем ве то, что удаляли:

    Автозагрузка, уже взгляд из реестра!

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Ну и ищем наш сервис:

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7



    Все, ось мы уже оставили без защиты...





    Способ 2. Наипростейший

    Глушим антизверь его же методами....

    При удалении заметил одну штуку

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7

    А именно обратите внимание на скрин, как глушат этот самы коварный nanosvc.exe и незавершаемый в обычном диспетчере сервис!

    командой:
    Код:
    "C:\Program Files\nanoav\nanosvc.exe" /remove

    Ну что угробим теперь мы его! Аналогично!
    Создаем ярлык,

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    туда прописываем выше представленную команду для нашего сервиса

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Ну и получаем:

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Запуская такой ярлычек, сервис склоняет голову даже не спросив об этом юзера!!!

    Что и видно в диспетчере задач:

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7



    Всё антивирус мертв!


    Человек, забравшийся на компьютер жертвы, даже глубоко не напрягаясь, может отключить ваш антивирусный пакет! Потом подсадить заразу, и успеть ее запустить.

    Ну или уже тупейший вариант для всех зловредописателей, внести данный код, для отключения данного антизверя. А дальше что хочу - то ворочу!





    Способ 3.

    Аналогично не представляет собой большой проблемы, просто приглушить сервис, то есть он работает, но на запускаемые файлы не реагирует, да и на все действия ему аналогично начихать.


    Команду для приостановления антивируса берем тут:

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7



    Аналогично создаем ярлык и прописываем туда команду:

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Но тут уже нас антизверь спросит, надо или нет?

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Жмакаем Да, получаем информационное окошко, о том, что все прошло успешно:

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    при этом сам процесс висит, но так сказать тупо висит, безхозно грузя оперативку:

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7



    Ну вот и все... Опять стандартно мы все завершили.


    Эту команду, или же команду из второго способа внедрить в хороший троянчеггг, со всеми ключами... То... Эххх... Хорошо, что Ваш антизверь еще не в столь широких кругах.


    Кстати озвучте поименно, информацию отсюда:
    В настоящее время NANO Антивирус находится в бета-стадии, т.е. официально предлагать его в качестве корпоративного решения мы не считаем верным на этом этапе. Однако достаточно много организаций с удовольствием используют наш продукт. В настоящее время я не могу привести статистику, так как она собирается пока что только для внутренних целей, и мы не запрашивали разрешения у организаций на ее публикацию, но могу сказать, что в списке много школ по всей стране, несколько вузов, различные бюджетные и промышленные организации, коммерческие фирмы и т.д., в том числе и за пределами России.
    В особенности про:
    различные бюджетные и промышленные организации, коммерческие фирмы и т.д., в том числе и за пределами России.

    Мой совет:
    Это будет полезно... Разошлите своим клиентам письма, с просьбой, дополнительно к Вашему антивирусному пакету, поставить хороший файервол, или хотя бы бесплатный, к примеру этот или этот, так как думаю найдуться смельчаки или таже школота, которая воспользуется дырами в Вашем антивирусном пакете!
    Кстати обратите внимание на этот продукт, молодой проект. такой же как и Вы!



    Продолжим, далее я передал аналогичным образом, парочку хаотичных команд нами любимому сервису nanosvc.exe

    хаотично в данном случае, после слеша - /, набрал хаотично буквы на англ раскладке клавиатуры.
    Код:
    "C:\Program Files\nanoav\nanosvc.exe" /________
    Ну в результате таких экспериментов, в конце концов передам повторно команду:
    Код:
    "C:\Program Files\nanoav\nanosvc.exe" /remove
    На что спустя некоторое время получил ответ:

    Скрытый текст

    Баг тестирование Nano Антивируса версии 0.14.0.7


    Говорит не может завершиться... эх чудеса да и только. В итоге мне это надоело решил ребутнутья и наконец снести антизверя...

    Оказывается и перезагрузка тоже невозможно....

    Мдя пришлось тупым образом выключать ноут....

    Потом поглядел логи....
    По последним минутам жизни, представляю...
    Код:
    22/01:57:26.812-00932	Service started.
    22/01:57:26.812-00932	LFH was set successfully
    22/01:57:26.812-00932	successfull _set_sbh_threshold
    22/01:57:26.921-00932	[ERRO] 0x84010018 Unknown error
    	..\..\src\wmi.cpp:465
    	..\..\src\AvxService.cpp:257(Exit code for '"C:\WINDOWS\system32\regsvr32.exe" /s /u "C:\Program Files\nanoav\\nanoshell.dll"' 5)


    Кстати заметил, на офф сайте, что новая версия доступна!
    Выпущено обновление программных компонент NANO Антивируса до версии 0.14.0.8 Beta.
    Скачать последнюю версию.

    Произведены следующие изменения/исправления:
    • Исправлены отдельные недочеты и ошибки.
    • Оптимизирован процесс лечения некоторых вирусов.




    Ну что жедаем удачи начинающему проекту! Ждем новых версий и более стабильных версий!
    Удачи проекту, и всегда !!!







    Автор Александр специально для StopMalware.kz

 

 

Похожие темы

  1. Ответов: 5
    Последнее сообщение: 07.09.2012, 12:12
  2. Выпущена новая версия NANO Антивируса (0.16.0.41590 Beta)
    от Ксения в разделе NANO Антивирус
    Ответов: 1
    Последнее сообщение: 20.01.2012, 20:46
  3. Релиз обновленной версии антивируса Microsoft Security Essentials
    от Hallucinogen в разделе СОФТвенные новости
    Ответов: 0
    Последнее сообщение: 29.06.2011, 20:14
  4. Ответов: 0
    Последнее сообщение: 01.06.2011, 01:05

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •