4. Этап второй. Шаг первый.

Первый тест будет проделан средствами специально написанной утилиты. В командной строке мы передадим ей полное имя файла, который хотим удалить при следующей загрузке ОС. Программа вызовет системную функцию MoveFileEx; эта функция может перемещать файлы и папки. Если в качестве второго параметра передать NULL, а третьим — флаг MOVEFILE_DELAY_UNTIL_REBOOT, то файл, путь к которому должен быть прописан в первом параметре нашей чудо-функции, будет безвозвратно удален после перезагрузки ОС.

Теперь посмотрим, как все это переживут наши антивирусы. Если запустить NOD32 и посмотреть в диспетчер задач, то можно увидеть два процесса: egui.exe и ekrn.exe. Первый запущен с правами текущего пользователя, а второй – с привилегиями системы. Вот их-то мы и попытаемся удалить. Запускаем утилиту для удаления, указав нужные файлы и перезагружаем компьютер. После перезагрузки антивирус успешно запустился. Тест пройден, причем на пять, поскольку NOD32 тихо и спокойно предотвратил попытку собственного удаления с жесткого диска пользовательской машины. Но у нас осталось еще пять претендентов на звание самого стойкого. Запускаем тест, перезагружаем компьютер и все антивируса как новенькие. И Никаких лишних сообщений, заставляющих пользователя делать выбор, никаких намеков на сбой в работе. Все справились на «отлично».

Второй краш-тест практически полностью повторяет первый, но с одним-единственным отличием – путь к удаляемому фалу мы передаем в зашифрованном виде. Процедура шифрования тоже не совсем простая. Мы используем специальный трюк, чтобы обмануть эвристики испытуемых антивирусов. Алгоритм основан он на генерации ключа криптования, который не может быть проанализирован эвристическими движками. Приступим к испытанию. Атаковать мы будем все те же файлы, что и в первом тесте, предварительно зашифровав их полные имена. К моему небольшому сожалению, все антивирусы стойко выдержали это нападение.

Третье испытание также будет удалять нужные для антивирусного ПО файлы, но при этом будет маскировать сам факт попытки удаления. Для этого при вызове функции MoveFileEx мы будем маскировать флаг MOVEFILE_DELAY_UNTIL_REBOOT, который красноречиво заявляет о наших намерениях. Маскировка, а точнее – шифрование этого параметра, будет осуществляться с помощью все того же трюка с генерацией ключа, не поддающегося эвристике. Проверку на прочность опять начинаем с NOD’а. Запускаем утилиту для теста, предварительно не забыв указать пути к файлам, которые должны быть стерты с поверхности диска. Перезагружаем систему - экран потух и сразу же загорелся, побежала строка загрузки Windows 7. По результатам теста, все антивирусы вновь прошли проверку.

5. Этап второй. Шаг второй.

Следующий тест мы будем проводить с помощью стандартных инструментов Windows 7. Для этого в главном меню системы нужно выбрать пункт «Выполнить…» и вписать туда следующее: gpedit.msc. Откроется консоль с групповыми политиками. Далее следует кликнуть по элементу «User Configuration», затем «Administrative Templates», «System». После чего справа мы увидим «Don’t run specified Windows applications». Эта опция позволяет запретить запуск определенных программ, основываясь на имени исполняемого файла.

Тестирование NOD32. В политиках Windows мы пропишем два исполняемых файла: egui.exe и ekrn.exe. Если у нас не получилось их удалить, то попробуем хотя бы помешать им загрузиться. После нажатия кнопочки OK и перезагрузки компьютера терпеливо ждем. ОС уже загрузилась, но значка антивируса не видно. Однако, ни через минуту, ни через две антивирус так и не стартовал. Заглянем в диспетчер задач - процесс ekrn.exe все-таки был запущен, но вот пользовательский интерфейс не запустился. Результат очень неплохой. Тот же результат показали остальные антивирусы, что не может не удивлять.

В пятом тесте будет попытка полного удаления защитного ПО с помощью штатного инсталлятора. Удалять мы будем так, чтобы пользователь ничего не заметил. Практически у всех современных инструментов для развертывания приложений в системе, есть так называемый «тихий режим», когда пользователю не задается никаких лишних вопросов.

Начнем наш тест с NOD32 - установка и удаление NOD32 выполняется с помощью стандартного инсталлятора. Для тихого удаления нужно выполнить команду, похожую на эту:

«msiexec /quiet /uninstall {1A59064A-12A9-469F-99F6-04BF118DBCFF}»

Через минуту компьютер перезагрузился и от антивируса не осталось и следа, за что он получает заслуженную двойку. Такой же результат показал антивирус Avira, что не удивительно, ведь он так же использует стандартный модуль от Microsoft. Все остальные наши попытки кончились полной неудачей – все антивирусы стойко выдержали попытку принудительного удаления. Но даже если бы у нас получилось, то пользователь увидел бы это, так как почти все антивирусы используют свой собственный модуль⁵.