Перейти к содержанию
Сергей Ильин

Тест антивирусов на детектирование упакованных вирусов (подготовка)

Recommended Posts

vaber

Вроде как набор пакеров привели, больше и не нужно (всё-равно их больше сотни, а эти самые рапространённые).

Список вирей должен быть составлен так, чтоб всех их определяли все тестируемые антивирусы, будучи не упакованными (что достаточно сложно в плане их нахождения, паскольку обычно их пакуют, прежде чем рассылать).

Если тестировать на вирустотале-результат будет не совсем соответствовать действительности, поскольку используемые там антивирусы не все самые свежие (версии) и вроде бы (не уверен) все они с настройками по умолчанию. Да и такая проблема с вирустотолом-их серв часто забит и приходится иногда ждать по 30 мин и больше своей очереди.

Но другой способ протестить такое количество антивирусов мне не приходит в голову :(

Не ужели их всех устанавливать на свой комп :)

Ваше мнение по тестированию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Ваше мнение по тестированию?

Каждый может протестировать на том, на чем сможет, я например могу взять на себя Trend Micro, Symantec, NOD32.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ваше мнение по тестированию?

Я думаю каждый протестирует на том, на чем сможет.

Остальное можно проверить на виртуальных машинах.

vaber, я тебе сейчас открою доступ к закрытому форуму, предлагаю там обсудить список зловредом и обменяться экземплярами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

vaber

Согласен.

Ну а так как у нас тест на определение, а не на производительность, то все прекрасно тестится на виртуальных машинах. Я уже подготовил чистую виртуалку XP, размножу ее (слава богу делается это простым копированием) и вперед. Если что, зловреды дальше виртуалки не выйдут... =)

Добавлено спустя 1 минуту 27 секунд:

Кстати, предлагаю список антивирусов - все кто успешно прошел VB100. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Почитал топик и гляжу тут народ попрежнему путает архиваторы и упаковщики.

RAR SFX и ZIP SFX - это архиваторы. Для того что бы запустить файл из такого архива - его необходимо извлечи и сохранить на диск, тут то его монитор и зарежет.

Упаковщики жмут исполняемый файл и записывают в него свой распаковщик. При запуске происходит распаковка прямо в памяти (минуя дисковые операции) и JUMP на начало кода оригинальной программы.

Ну это так, точки на "i". Теперь по сути: де факто самые популярные упаковщики среди вирусов/троянов/червей: UPX, FSG, MEW. Этой тройкой пожато более половины всего malware.

Притестировании думаю действительн онадо использовать какие либо крайние состояния:

1. Запаковали файл UPX (стандартая упаковка)

2. Запаковали UPX + FSG + ещё что то (вложенная упаковка)

3. Запаковали очень большой EXE-файл (например метров 10, но не инсталлятор, птому как там сам код меньше, а остальное просто прилеплено к файлу, оно жаться не будет)

Ну и так для различных пакеров.

Интересен ещё один вариант теста. Берём 40 вирей/червей/троянов, полученных ITW и пожатых UPX. Распаковываем их всех и жмём тем же FSG и смотрим что будет ;)

А вообще, можно многого навыдумывать, но есть ли смысл ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Про пункт 3 не совсем понял ...

Я думаю первоначально выдумывать, много не стоит. А вообще как я вижу смысл этого теста.

Давайте вернемся немного к истории создания упаковщиков. Они были придуманы не просто так и не для вирусописатилей (многие наверно удивятся :wink: ). Они были придуманы для защиты программ от взлома. Упаковщики встраивают в исполняемый файл различные защиты от дебага, трэйса и прочего... От версии к версии изменяется формат упаковки…

Упаковщики изначально - это антиоружие.

В оружие их превратили вирусописатели.

А вследствие того, что это антиоружие, то оно постоянно развивается, как следствие и развивается оружие вирусописателей. На мой взгляд, антивирусные компании должны следить не только за появлением новых вредоносов, но и должны исключить реинкарнацию старых вирусов запакованных в новые версии упаковщиков, которые просто антивирус не понимает. А если бы понимал, то не понадобилось бы опять проходить процедуру внесения сигнатуры реинкарнировавшего вируса в базы. А ведь так все бьются над снижением времени этой процедуры.

Мое мнение: антивирусные компании должны следить за новыми версиями упаковщиков и вносить изменения по работе с этими упаковщиками.

Вот этим тестом мы и будем проверять, какая из антивирусных компаний обеспечивает более надежную защиту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX
Ваше мнение по тестированию?

Я думаю каждый протестирует на том, на чем сможет.

Остальное можно проверить на виртуальных машинах.

vaber, я тебе сейчас открою доступ к закрытому форуму, предлагаю там обсудить список зловредом и обменяться экземплярами.

Можно файлы загнать на virustotal с пометкой - Do not distribute.

Добавлено спустя 4 минуты 38 секунд:

>Они были придуманы для защиты программ от взлома.

В корне неверно! Для этого создиги протекторы а пакеры созданны только для того чтобы уменьшать размер

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко
В корне неверно! Для этого создали протекторы а пакеры созданы только для того чтобы уменьшать размер

На самом деле тут ситуация такая. Как и антивирусы (ловить вирусы) пакеры вначале создавались с одной целью - уменьшить размер. Но, так же как и антивирусы стали ловить не только вирусы, но и другой вредоносный код, да еще, например, и обладать встроенным фаерволом - в пакеры начали встраивать дополнительные средства защиты (что бы товар был конкурентным на рынке). Да что говорить - посмотрите список функционала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Притестировании думаю действительн онадо использовать какие либо крайние состояния:

1. Запаковали файл UPX (стандартая упаковка)

2. Запаковали UPX + FSG + ещё что то (вложенная упаковка)

3. Запаковали очень большой EXE-файл (например метров 10, но не инсталлятор, птому как там сам код меньше, а остальное просто прилеплено к файлу, оно жаться не будет)

Отлично, нужно попробовать так сделать.

Добавлено спустя 14 минут 48 секунд:

Предлагаю подвергнуть тесту следующие антивирусы:

1. Norton Anti-Virus 2006

2. Trend Micro PC-cillin Internet Security 2006

3. McAfee VirusScan Professional 2006

4. Sophos Anti-Virus 6.0 (SAV)

5. Kaspersky Anti-Virus 6.0 (KAV)

6. Eset NOD32 Antivirus 2.5

7. CA eTrust EZ Antivirus 7.1 (CAI)

8. Norman Virus Control 5.0

9. BitDefender 9 Professional

10. Panda Titanium Antivirus 2006

11. AVG Professional Edition 7.1

12. Dr.Web Scanner for Windows 95-XP 4.33

13. AVIRA Antivir PersonalEdition Premium 7.0

14. Avast! 4.7 Professional Edition

15. F-Prot Anti-Virus for Windows 3.16f

16. F-Secure Anti-Virus 2006

17. GDATA AntiVirusKit 2006

18. VBA32 3.11

Возражения есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

11 и 14 не одно и тоже?

Мон ещё и clamav 0.88.2, Authentium 4.93.8, а самое главное наш БЕЛАРУСКИЙ антивирус VBA32 3.11.0????? Как же так? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Да, 14 убираем, два раза написал :oops:

VBA32 добавил, список обновил выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Всё-таки мона и clamav 0.88.2 - я когда покавал бэгля GPcH Protect и отсылал на вирустотал, то кроме этого антивиря и vba ни кто не определил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Забыли ещё UNA ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Забыли ещё UNA

Да, точно, сорри :oops:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Тут ещё какая-то Stocona вылезла :)

http://www.stocona.ru/products/antivirus/index.html

Хотелось бы узнать, что за фрукт :)

А как на счёт Microsoft OneCare? ;)

Тоже хотелось бы независимых исследований, а не проспонсированных :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Да, MS было бы интересно потестить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

ОК, Microsoft OneCare еще и Stocona.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Просто нужен ли кому-то в России тоже Virusbaster или Ikarus?

Их и не знает никто почти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Stocona действительно бы не мешало по тестить. Надо взять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Просто нужен ли кому-то в России тоже Virusbaster или Ikarus?

Их и не знает никто почти.

Я просто добавил того, чего не хватает :)

Вдруг пригодится :)

Конечно, не всё необходимо из этого списка брать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Wordmonger

Небольшая просьба: методику тестирования (пошагово) опубликовать до проведения теста. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Wordmonger

Над этим сейчас работаем. Но скорее всего результаты первого тест будут опубликованы параллельно с методикой. В данный момент мы опубликуем только список пакеров и их версии, которые будут проверяться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Друзья, наконец то, о чем так долго говорилось в этой ветке свершилось!

Мы закончили и выложили наш первый собственный тест антивирусов, разработанный и проведенный в рамках проекта Anti-Malware.ru:

Тест антивирусов на поддержку упаковщиков (08/2006)

Более подробные результаты теста доступны:

В формате HTML

http://www.anti-malware.ru/index.phtml?part=tests

В формате Excel (полная информация по каждому антивирусу и детекшену всех упакованных вредоносов).

http://www.anti-malware.ru/doc/packers_support_08.2006.xls

Хочу особенно поблагодарить всех, кто принимал участие и содействовал в проведении данного теста!

Особенная благодарность за работу над тестом vaber и FLY.

Ну и, конечно, Николай Терещенко просто мотор, без его усилий теста бы просто не было!

Ждем ваших отзывов и замечаний :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Ура, свершилось Ж)

Пошел изучать в деталях Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×