Перейти к содержанию
Сергей Ильин

Тест антивирусов на детектирование упакованных вирусов (подготовка)

Recommended Posts

Мальцев Тимофей
Это ж надо НОД-у отрубить эвристику было! Он только ей и дышит.

Какая волшебная фраза! Обязательно буду использовать ее во всех сложных случаях - вторую часть! :)

Добавлено спустя 2 минуты 52 секунды:

Поиск по сигнатурам отомрет намного раньше чем многие полагают.

Что, правда есть серьезные основания так считать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana
Что, правда есть серьезные основания так считать?

ага, уж больно эвристика становиться умная и эмулятор растет не по годам.

если б вы увидели внутренности того же нод-а, то сами бы решили, что использование сигнатурного поиска - это нечто неприличное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
ага, уж больно эвристика становиться умная и эмулятор растет не по годам.

если б вы увидели внутренности того же нод-а, то сами бы решили, что использование сигнатурного поиска - это нечто неприличное.

А вы видели внутренности еще хоть чего-нибудь, кроме нода ? :)

эдак вы договоритесь до того, что эвристику изобрели в есет пару лет назад, ага ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana

видел. битдефендер - полностью идет по стопам нода. У каспера нету эвристики - только сигнатуры и набор распаковщиков. Этакий школяр-зубрила. У др.веба тоже погано с эвристикой. но из всех что видел - лучшая у нода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

А ничего что она работоспособна только на x86 и только под виндой?! Ж)

Весело админам будет с нодом на почтовых серверах Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

TiX> А ничего что она работоспособна только на x86 и только под виндой

Дэрэгой, не спорь с пионерами, и не используй непонятные слова типа х86 и винда - шапками закидают так что не отобьешься.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей
если б вы увидели внутренности того же нод-а

Вы искренне считаете, что мне оно надо?

Я чутка по другому ведомству. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana
Вы искренне считаете, что мне оно надо?

Не знаю. Знаю только, что сейчас рулят статик анпакеры и кол-во сигнатур. Поэтому каспер (и куча кормящихся с него студентов) впереди планеты всей. Но... Проведем этот же тест через 5 лет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>Проведем этот же тест через 5 лет.

А кто сказал что через 5 лет у касперов не появится эвристик 3тьего поколения? Ж) второе - эмуляция в виртуальной среде Ж)

А еще смешнее будет когда каспы зделают свой новый (2го поколения) эвристик-эмулятор + у них будет PDM (Proactive Defense Monitor)

Любой эмулятор обходится 2 строками кода а анализаторв в реальном времени сложнее Ж) Если эвристик будет ловить все что ловит ПДМ нод будет в.... :)

Подождем хотябы пол года и сравним преимущества и недостатки 2х эвристиков-эмуляторов.

Добавлено спустя 4 минуты 10 секунд:

--------------------------

Да кстати - грована - можете показать срабатывание нодовского эвристика на новой заразе?!

Probably variant of Some_Known_Malware - не эвристик а будем считать плавающая сигнатура наложенная на поток вывода эмулятора.

Probably NewHeur_PE - не эвристик, точнее эвристик но не детект вируса а показатель того что эмулятор загнулся и несмог проэмулить код доконца Ж)

Покажите что-то вроде Probably NewMailWorm :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana
Probably NewHeur_PE - не эвристик, точнее эвристик но не детект вируса а показатель того что эмулятор загнулся и несмог проэмулить код доконца Ж)

Ниче подобного. Вот пример правила, по которому НОД найдет новую малвару:

// Rule #1:if (((flag_aGetDefaultFolder_0 | (flag_aGetFolder_0 | flag_aAddressLists_0)) &&    (flag_aEmail1Address_0 | flag_aAddressEntries_0) && (flag_aCreateItem_0) &&    ((flag_aTo_0 | flag_aBCC_0 | flag_aRecipients_0) | flag_aCC_0) &&    (flag_aAttachments_0 & flag_aAdd_0 & flag_aSend_0)){        //!!!VIRUS FOUND!!!}// Rule #1 variables:aGetDefaultFolder_0    db    "GetDefaultFolder",0aGetFolder_0        db    "GetFolder", 0aAddressLists_0        db    "AddressLists", 0aEmail1Address_0    db    "Email1Address", 0aAddressEntries_0    db    "AddressEntries", 0aCreateItem_0        db    "CreateItem", 0aTo_0            db    "To", 0aBCC_0            db    "BCC", 0aRecipients_0        db    "Recipients", 0aCC_0            db    "CC", 0aAttachments_0        db    "Attachments", 0aAdd_0            db    "Add", 0aSend_0            db    "Send", 0

Насчет "загнется" - это правило тоже есть, но флаг по нему срабатывает крайне редко, уж поверь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
А еще смешнее будет когда каспы зделают свой новый (2го поколения) эвристик-эмулятор + у них будет PDM (Proactive Defense Monitor)

Вот анекдот-то. А что, у Каспера есть эвристик "1го поколения" ?

Наверное есть некая техническая документация, в которой

задекларированно его формально-теоритическое наличие, да ?

Этакий "неуловимый Джо" :D

А по поводу эвристика, которым в ЛК планируют наконец-то обзавестись, то может быть дождетесь пока он появится и продемонстрирует свою эффективность.

А то не ровен час, окажется, что это некое, грядущее "чудо 2го поколения" явится закономерным продолжением "неуловимого чуда 1го поколения" и тогда, действительно - "еще смешнее будет"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Вот анекдот-то. А что, у Каспера есть эвристик "1го поколения" ?

Наверное есть некая техническая документация, в которой

задекларированно его формально-теоритическое наличие, да ?

Этакий "неуловимый Джо" :D

http://www.av-comparatives.org/seiten/ergebnisse_2006_05.php

А по поводу эвристика, которым в ЛК планируют наконец-то обзавестись, то может быть дождетесь пока он появится и продемонстрирует свою эффективность.

А то не ровен час, окажется, что это некое, грядущее "чудо 2го поколения" явится закономерным продолжением "неуловимого чуда 1го поколения" и тогда, действительно - "еще смешнее будет"

Посмотим. Вы слишком рано делаете выводы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE

Ссылка не работает:

Error 404 - File not found

The requested file could not be found.

Посмотим. Вы слишком рано делаете выводы.

Как раз-то не я делаю преждевременные выводы

о "чуде", которое еще не появилось

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Ссылка не работает:

Error 404 - File not found

The requested file could not be found.

Попробуйте еще раз. У меня получается как с помощью Firefox, так и с помощью Opera.

Можно поступить иначе. Зайдите сюда http://www.av-comparatives.org/ и найдите Retrospective/ProActive Test May 2006 (см. Online Results или попробуйте скачать здесь

http://www.av-comparatives.org/seiten/ergebnisse/2006_05.zip

Как раз-то не я делаю преждевременные выводы

о "чуде", которое еще не появилось

ОК. Может быть я неправильно выразился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Семашко

К слову, проценты в ретроспективном тестировании могут получаться не только из-за эвристики, но и за счет детектирования троянов, которые попали в базу антивируса раньше, чем были добавлены тестовую коллекцию av-comparatives.org

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Для чистоты эксперимента нужно узнать, какие статические анпакеры включает тот или иной антивирус, тогда это будет действительно "Тест - детектирование упакованных вирусов"

А это вообще возможно ли знать? :-)

Не один вендор официально не даст список поддерживаемых пакеров, это бы сразу облегчило жизнь вирусописателям.

Большинству пользователей антивирусного ПО абсолютно безразлично каким образом был обнаружен вредоносный объект. Для пользователя важен результат и не более.

Полностью согласен, какая разница как был детектирован упакованный вредонос? Главное результат.

Добавлено спустя 3 минуты 12 секунд:

Вообще хочу заметить, что обсуждение качества проактивных технологий и эвристиков в частности выходит за рамки этой ветки :off:

Для этого есть хотя бы вот эти ветки

http://www.anti-malware.ru/phpbb/viewtopic.php?t=858

http://www.anti-malware.ru/phpbb/viewtopic.php?t=888

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Не один вендор официально не даст список поддерживаемых пакеров, это бы сразу облегчило жизнь вирусописателям.

Например KAV не срывает этого списка, его можно из общедоступных баз получить. Там правда будут только названия, без версий. Версии можно получить у представителей, и скрывать тут тоже нечего - кому это надо, тот и так знает, кто что не понимает, такая информация расползается по всем малварным форумам буквально за день, в том числе и по поводу багов в распаковщиках (где что надо поправить чтобы файл был работоспособным, но его не распаковывали и т.д., а это каждый вендор фиксит в меру своих возможностей - у кого распаковщики в базах, тот может и за час поправить, а кому не повезло, и распаковщики в движке, то тут как получится :)

Тут все четко - или да, или нет, и никаких расплывчатых маркетбулщитов про generic-unpucker и прочие мифические вещи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Семашко
Тут все четко - или да, или нет, и никаких расплывчатых маркетбулщитов про generic-unpucker и прочие мифические вещи.

Для generic unpacker'а тоже можно составить список гарантированно поддерживаемых распаковщиков (в принципе, он даже у нас есть). Другое дело, что публиковать его мало смысла - реальное число подерживаемых пакеров на самом деле больше (за счет тех, которые поддерживаются, но еще не попали в руки разработчиков или вообще еще пока не написаны :)).

И если не сложно, можно ли добавить в Вашу подпись информацию о том, какого вендора Вы представляете, чтобы было ясно с кем приходится иметь дело?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Тут все четко - или да, или нет, и никаких расплывчатых маркетбулщитов про generic-unpucker и прочие мифические вещи.

Полагаю, что у этой технологии есть свои преимущества. :)

Добавлено спустя 28 минут 32 секунды:

Для generic unpacker'а тоже можно составить список гарантированно поддерживаемых распаковщиков (в принципе, он даже у нас есть).

Где можно озанкомиться с его содержанием? Если это конечно не "военная тайна".

Другое дело, что публиковать его мало смысла - реальное число подерживаемых пакеров на самом деле больше (за счет тех, которые поддерживаются, но еще не попали в руки разработчиков или вообще еще пока не написаны :)).

Согласен, но все-таки было бы интересно узнать какие упаковщики на данный момент поддерживаются VBA 32 (из существующих).

P.S. Как известно, VBA 32 показал себя не с самой лучшей стороны в ходе проведения теста на обнаружение упакованных вредоносных объектов. Я имею в виду тест на anti-malware.ru. Можно сколько угодно рассуждать о корректности теста и методов подведения итогов, но факт остается фактом - VBA 32 пропустил немалое число упакованнных вирусов. В данной связи у меня возник вопрос. Будет ли внесены какие-либо коррективы в процедуру детектирования подобных объектов? И что конкретно собираются сделать специалисты VBA?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z
Для чистоты эксперимента нужно узнать, какие статические анпакеры включает тот или иной антивирус, тогда это будет действительно "Тест - детектирование упакованных вирусов"

А это вообще возможно ли знать? :-)

Не один вендор официально не даст список поддерживаемых пакеров, это бы сразу облегчило жизнь вирусописателям.

а толку-то от списка на ~5000 позиций? тем кому нужно знать, и так знают, они за облегчением своей жизни следят профессионально. а остальным 99.99% вообще ни о чем не скажет. по сути своей не информация, мусор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Если кому очень надо могу составить текущий список поддерживаемых пакеров доктором (только имена пакеров) и каспа - имена + версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> И если не сложно, можно ли добавить в Вашу подпись информацию

> о том, какого вендора Вы представляете, чтобы было ясно с кем

> приходится иметь дело?

На этом форуме я пишу исключительно дома, в нерабочее время.

Так что я тут никого не представляю, все что пишу это мое личное мнение, которое наверняка не совпадает с мнением компании, и вобще является отходами воспаленного мозга.

Хотя скрывать тут особо нечего, все и так знают что подпись должна выглядеть примерно так:

----------

Regards, Dmitry Glavatskikh

Virus Analyst, Kaspersky Lab.

mailto: newvirus@kaspersky.com

http://www.kaspersky.com

Хотя, конечно, на "Virus Analyst" я не тяну, только трепаться могу :(

> а толку-то от списка на ~5000 позиций?

Как в известном анекдоте: дорогой, ты поставил лишний ноль после суммы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z
> а толку-то от списка на ~5000 позиций?

Как в известном анекдоте: дорогой, ты поставил лишний ноль после суммы.

пальцы в дверь еще полезают или переодически их защемляет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> пальцы в дверь еще полезают или переодически их защемляет?

Двери регулярно расширяют, чтобы не вызвать моего праведного гнева

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Двери регулярно расширяют, чтобы не вызвать моего праведного гнева

Дарт Вейдер...?

копирайт?

P.S.

Блин, опять офтоп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×