Сергей Ильин

Тест антивирусов на детектирование упакованных вирусов (подготовка)

В этой теме 224 сообщений

Вроде как набор пакеров привели, больше и не нужно (всё-равно их больше сотни, а эти самые рапространённые).

Список вирей должен быть составлен так, чтоб всех их определяли все тестируемые антивирусы, будучи не упакованными (что достаточно сложно в плане их нахождения, паскольку обычно их пакуют, прежде чем рассылать).

Если тестировать на вирустотале-результат будет не совсем соответствовать действительности, поскольку используемые там антивирусы не все самые свежие (версии) и вроде бы (не уверен) все они с настройками по умолчанию. Да и такая проблема с вирустотолом-их серв часто забит и приходится иногда ждать по 30 мин и больше своей очереди.

Но другой способ протестить такое количество антивирусов мне не приходит в голову :(

Не ужели их всех устанавливать на свой комп :)

Ваше мнение по тестированию?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ваше мнение по тестированию?

Каждый может протестировать на том, на чем сможет, я например могу взять на себя Trend Micro, Symantec, NOD32.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ваше мнение по тестированию?

Я думаю каждый протестирует на том, на чем сможет.

Остальное можно проверить на виртуальных машинах.

vaber, я тебе сейчас открою доступ к закрытому форуму, предлагаю там обсудить список зловредом и обменяться экземплярами.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

vaber

Согласен.

Ну а так как у нас тест на определение, а не на производительность, то все прекрасно тестится на виртуальных машинах. Я уже подготовил чистую виртуалку XP, размножу ее (слава богу делается это простым копированием) и вперед. Если что, зловреды дальше виртуалки не выйдут... =)

Добавлено спустя 1 минуту 27 секунд:

Кстати, предлагаю список антивирусов - все кто успешно прошел VB100. :wink:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Почитал топик и гляжу тут народ попрежнему путает архиваторы и упаковщики.

RAR SFX и ZIP SFX - это архиваторы. Для того что бы запустить файл из такого архива - его необходимо извлечи и сохранить на диск, тут то его монитор и зарежет.

Упаковщики жмут исполняемый файл и записывают в него свой распаковщик. При запуске происходит распаковка прямо в памяти (минуя дисковые операции) и JUMP на начало кода оригинальной программы.

Ну это так, точки на "i". Теперь по сути: де факто самые популярные упаковщики среди вирусов/троянов/червей: UPX, FSG, MEW. Этой тройкой пожато более половины всего malware.

Притестировании думаю действительн онадо использовать какие либо крайние состояния:

1. Запаковали файл UPX (стандартая упаковка)

2. Запаковали UPX + FSG + ещё что то (вложенная упаковка)

3. Запаковали очень большой EXE-файл (например метров 10, но не инсталлятор, птому как там сам код меньше, а остальное просто прилеплено к файлу, оно жаться не будет)

Ну и так для различных пакеров.

Интересен ещё один вариант теста. Берём 40 вирей/червей/троянов, полученных ITW и пожатых UPX. Распаковываем их всех и жмём тем же FSG и смотрим что будет ;)

А вообще, можно многого навыдумывать, но есть ли смысл ? :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Про пункт 3 не совсем понял ...

Я думаю первоначально выдумывать, много не стоит. А вообще как я вижу смысл этого теста.

Давайте вернемся немного к истории создания упаковщиков. Они были придуманы не просто так и не для вирусописатилей (многие наверно удивятся :wink: ). Они были придуманы для защиты программ от взлома. Упаковщики встраивают в исполняемый файл различные защиты от дебага, трэйса и прочего... От версии к версии изменяется формат упаковки…

Упаковщики изначально - это антиоружие.

В оружие их превратили вирусописатели.

А вследствие того, что это антиоружие, то оно постоянно развивается, как следствие и развивается оружие вирусописателей. На мой взгляд, антивирусные компании должны следить не только за появлением новых вредоносов, но и должны исключить реинкарнацию старых вирусов запакованных в новые версии упаковщиков, которые просто антивирус не понимает. А если бы понимал, то не понадобилось бы опять проходить процедуру внесения сигнатуры реинкарнировавшего вируса в базы. А ведь так все бьются над снижением времени этой процедуры.

Мое мнение: антивирусные компании должны следить за новыми версиями упаковщиков и вносить изменения по работе с этими упаковщиками.

Вот этим тестом мы и будем проверять, какая из антивирусных компаний обеспечивает более надежную защиту.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ваше мнение по тестированию?

Я думаю каждый протестирует на том, на чем сможет.

Остальное можно проверить на виртуальных машинах.

vaber, я тебе сейчас открою доступ к закрытому форуму, предлагаю там обсудить список зловредом и обменяться экземплярами.

Можно файлы загнать на virustotal с пометкой - Do not distribute.

Добавлено спустя 4 минуты 38 секунд:

>Они были придуманы для защиты программ от взлома.

В корне неверно! Для этого создиги протекторы а пакеры созданны только для того чтобы уменьшать размер

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В корне неверно! Для этого создали протекторы а пакеры созданы только для того чтобы уменьшать размер

На самом деле тут ситуация такая. Как и антивирусы (ловить вирусы) пакеры вначале создавались с одной целью - уменьшить размер. Но, так же как и антивирусы стали ловить не только вирусы, но и другой вредоносный код, да еще, например, и обладать встроенным фаерволом - в пакеры начали встраивать дополнительные средства защиты (что бы товар был конкурентным на рынке). Да что говорить - посмотрите список функционала.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Притестировании думаю действительн онадо использовать какие либо крайние состояния:

1. Запаковали файл UPX (стандартая упаковка)

2. Запаковали UPX + FSG + ещё что то (вложенная упаковка)

3. Запаковали очень большой EXE-файл (например метров 10, но не инсталлятор, птому как там сам код меньше, а остальное просто прилеплено к файлу, оно жаться не будет)

Отлично, нужно попробовать так сделать.

Добавлено спустя 14 минут 48 секунд:

Предлагаю подвергнуть тесту следующие антивирусы:

1. Norton Anti-Virus 2006

2. Trend Micro PC-cillin Internet Security 2006

3. McAfee VirusScan Professional 2006

4. Sophos Anti-Virus 6.0 (SAV)

5. Kaspersky Anti-Virus 6.0 (KAV)

6. Eset NOD32 Antivirus 2.5

7. CA eTrust EZ Antivirus 7.1 (CAI)

8. Norman Virus Control 5.0

9. BitDefender 9 Professional

10. Panda Titanium Antivirus 2006

11. AVG Professional Edition 7.1

12. Dr.Web Scanner for Windows 95-XP 4.33

13. AVIRA Antivir PersonalEdition Premium 7.0

14. Avast! 4.7 Professional Edition

15. F-Prot Anti-Virus for Windows 3.16f

16. F-Secure Anti-Virus 2006

17. GDATA AntiVirusKit 2006

18. VBA32 3.11

Возражения есть?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

11 и 14 не одно и тоже?

Мон ещё и clamav 0.88.2, Authentium 4.93.8, а самое главное наш БЕЛАРУСКИЙ антивирус VBA32 3.11.0????? Как же так? :D

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всё-таки мона и clamav 0.88.2 - я когда покавал бэгля GPcH Protect и отсылал на вирустотал, то кроме этого антивиря и vba ни кто не определил.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тут ещё какая-то Stocona вылезла :)

http://www.stocona.ru/products/antivirus/index.html

Хотелось бы узнать, что за фрукт :)

А как на счёт Microsoft OneCare? ;)

Тоже хотелось бы независимых исследований, а не проспонсированных :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Stocona действительно бы не мешало по тестить. Надо взять.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просто нужен ли кому-то в России тоже Virusbaster или Ikarus?

Их и не знает никто почти.

Я просто добавил того, чего не хватает :)

Вдруг пригодится :)

Конечно, не всё необходимо из этого списка брать :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Небольшая просьба: методику тестирования (пошагово) опубликовать до проведения теста. :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Wordmonger

Над этим сейчас работаем. Но скорее всего результаты первого тест будут опубликованы параллельно с методикой. В данный момент мы опубликуем только список пакеров и их версии, которые будут проверяться.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Друзья, наконец то, о чем так долго говорилось в этой ветке свершилось!

Мы закончили и выложили наш первый собственный тест антивирусов, разработанный и проведенный в рамках проекта Anti-Malware.ru:

Тест антивирусов на поддержку упаковщиков (08/2006)

Более подробные результаты теста доступны:

В формате HTML

http://www.anti-malware.ru/index.phtml?part=tests

В формате Excel (полная информация по каждому антивирусу и детекшену всех упакованных вредоносов).

http://www.anti-malware.ru/doc/packers_support_08.2006.xls

Хочу особенно поблагодарить всех, кто принимал участие и содействовал в проведении данного теста!

Особенная благодарность за работу над тестом vaber и FLY.

Ну и, конечно, Николай Терещенко просто мотор, без его усилий теста бы просто не было!

Ждем ваших отзывов и замечаний :-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS