Сергей Ильин

Тест антивирусов на детектирование упакованных вирусов (подготовка)

В этой теме 224 сообщений

ну почему же - Касперский тоже его детектил по сигнатурам раньше, пока автор вежливо не попросил убрать сигнатуры из базы

Не совсем понял, детектил сам farn применения криптора или вирус в зараженном файле закриптованном этим криптором? Это абсолютно разные вещи.

Не забывайте, что некоторые антивирусы неплохо детектируют упакованные вирусы поверх упаковщика используя стандартный сигнатурный метод.

Не забываю. Однако я больше наблюдал ситуацию, когда детектирование происходит, но ...выявляется ошибочно другой вирус, а не реально имеющийся :-)

Приведите пожалуйста примеры.

Это некорректно и неэтично. Подобное потянет на руководству к действию.

Любой кто исследовал способности популярных крипторов подтвердит, что я прав.

Почему же тогда в этом тесте http://anti-malware.ru/index.phtml?part=tests он "взял" всего лишь чуть больше половины упакованных вредоносных объектов? Или что-то существенно изменилось за последнее время?

Я тоже был сильно удивлён. Однако тот же пресловутый пример EXECryptor + ещё один публичный криптор ещё нееди две назад были не по зубам Ноду, а теперь заражённые файлы раздеваются абсолютно прозрачно!

Я вовсе не склонен идеализировать Нод, но меня на данный момент он впечатляет.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не забываю. Однако я больше наблюдал ситуацию, когда детектирование происходит, но ...выявляется ошибочно другой вирус, а не реально имеющийся :-)

Ложные срабатывания? Возможно. Но все же детектирование упакованных вирусов подобным образом нельзя сбрасывать со счетов. Согласны?

Зачастую вирусные лаборатории ванчале добавляют обычный сигнатурный детеккт, а затем

совершенствуют механизм распаковки.

Это некорректно и неэтично. Подобное потянет на руководству к действию.

Ну почему же. Полагаю, что это наоборот будет стимулом.

Любой кто исследовал способности популярных крипторов подтвердит, что я прав.

Мнения бывают разные.

Я тоже был сильно удивлён. Однако тот же пресловутый пример EXECryptor + ещё один публичный криптор ещё нееди две назад были не по зубам Ноду, а теперь заражённые файлы раздеваются абсолютно прозрачно!

Возможно. Ноябрьский тест покажет насколько изменилась ситуация.

Я вовсе не склонен идеализировать Нод, но меня на данный момент он впечатляет.

:)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не совсем понял, детектил сам farn применения криптора или вирус в зараженном файле закриптованном этим криптором? Это абсолютно разные вещи.

Детектил любой файл, пакованный экзекриптором как вирус.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вопрос: а почему вы в список пакеров-протекторов не включили telock, peshield, polyene (полиморфный), pklite32? Насколько я знаю они реально используются, для упаковки троянов.

Очень интересно узнать чей из движков справляется с armadillo

Добавлено спустя 4 минуты 6 секунд:

Еще вопрос: почему упаковщик точно не помню как пишется на латинской раскладке, читается что-то типа майкранч детектируется как вирус в KAV? А он чистенький, ни кто этим упакощиком не занимался?

Добавлено спустя 57 секунд:

И в догонку еще вопрос: какие антивирусы для распаковки используют программные эмуляторы?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Еще вопрос: почему упаковщик точно не помню как пишется на латинской раскладке, читается что-то типа майкранч детектируется как вирус в KAV

см. на пост выше. в кав все что не могут распаковать помечают как вирус. Потом в тестах "для народа" подобный подход дает еще несколько "метких попаданий в яблочко".

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Только Eset Nod32 к моему ужасному удивлению поднаторел за послдение несколько месяцев на поприще работы с закриптованными вирусами, на ура декриптуя настоящий гвоздь в ж... для всех остальных антивирусов - EXECryptor. Да и почти все остальные крипторы ему по зубам.
Почему же тогда в этом тесте http://anti-malware.ru/index.phtml?part=tests он "взял" всего лишь чуть больше половины упакованных вредоносных объектов? Или что-то существенно изменилось за последнее время?

Странно как-то Вы,Mr. Justice, трактуете результаты

этого теста. NOD32 оказался на четвёртом месте, оставив

позади, двенадцать антивирусных продуктов, проваливших тест.

И уже в тот раз, ESET продемонстрировала значительный прогресс.

При этом, Вы называете этот результат "всего лишь" - "чудно" как-то, знаете ли...

А по-поводу изменений в последнее время - да, произошли еще более

кардинальные изменения в отношении количества упаковщиков,

которые поддерживает NOD32, причем произошли они, за очень

короткий период времени.

И грядущий, новый тест на поддержку упаковщиков, покажет

_много_ интересного...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Странно как-то Вы,Mr. Justice, трактуете результаты

этого теста. NOD32 оказался на четвёртом месте, оставив

позади, двенадцать антивирусных продуктов, проваливших тест.

И уже в тот раз, ESET продемонстрировала значительный прогресс.

При этом, Вы называете этот результат "всего лишь" - "чудно" как-то, знаете ли...

Может быть я неправильно выразился. Я нисколько не хочу преуменьшить достоинства NOD32. Этот антивирус обладает превосходным эмулятором, который позволяет проактивно детектировать упакованные вредоносные объекты. Более того, замечу, что в отличие от многих других антивирусов, результат который покажет NOD32 трудно предсказать.

А по-поводу изменений в последнее время - да, произошли еще более

кардинальные изменения в отношении количества упаковщиков,

которые поддерживает NOD32, причем произошли они, за очень

короткий период времени.

И грядущий, новый тест на поддержку упаковщиков, покажет

_много_ интересного...

ОК. Охотно Вам верю. :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> Еще вопрос: почему упаковщик точно не помню как пишется

> на латинской раскладке, читается что-то типа майкранч

MuCrunch распаковывется - лично с автором общался.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Продолжу свои наблюдения.

Убедительная просьба не расценивать всё следующее как разжигание межантивирусной вражды, но в этот раз под нож хочу пустить творение лаборатории Данилова.

Если тут есть представители этой компании, то пусть они беспристрастно ответят на один лишь вопрос.

Почему Доктор так неуверенно работает с крипторами и пакерами?

Чтобы обойти Доктор Веб, достаточно минут 5 походить по местам скопления паблик-крипторов чтобы найти как минимум пару-тройку из них, которые полностью отбивают у Доктора способность что-либо найти в заражённом файле (либо самом файле-вирусе).

При этом, это даже не монстры типа Armadillo, а всего лишь крипторы далеко не первой свежести, увеличивающие размер файла ничтожно.

Смотрю на конкурентов Доктора, сравниваю, наблюдаю за скоростью реакции их производителей по внесению в базы возможности детектить и опознавать хотя бы приблизительно по сигнатурам (если уж не распаковывать) новые крипторы и вижу, что всё ок. Очень оперативно работа проходит у многих.

А вот Доктор. как косолапый Мишка в берлоге, или как мужик, который пока гром не грянет и т.д...

Почему так происходит?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Предположительно ответ будет примерно следующего содержания: "То же самое можно сказать о любом другом антивирусе" ;)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Почему так происходит?

Ответ будет таким. Ваши утверждения носят общий характер и не имеют доказательной базы.

Тест на детектирование упакованных вирусов ужЕ проведён, результаты можно посмотреть.

Dr.Web в этом тесте стоИт не на самом последнем месте, а большинство известных антивирусов себя показали далеко не с лучшей стороны (это если отбросить в сторону всё субъективное по отношению к тесту)

И действительно нет антивирусов, для которых невозможно найти пакер, который он не сможет распаковать.

Все антивирусные вендоры стараются распаковывать наиболее часто встречающиеся упаковщики, только у одних их количество больше, у других - меньше.

Я думаю, что на обход Dr.Web Вы потратили приличное время, чтобы доказать себе, что он ловит не все крипторы, а на достойную проверку других антивирусов у Вас просто не хватило запала, зато этого хватило, чтобы "пустить под нож творение..." и т.д. по тексту.

Так, как это сделали Вы, можно "пустить под нож" любое "творение", и мой персонаж Гудрон не так давно это демонстрировал.

Но мы вроде бы тут не за этим, правда? :?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

2 Valery Ledovskoy

Мой ответ не имеет доказательной базы лишь потому, что я уже тут писал, что не намерен делать за кого то чужую работу и выявлять крипторы, не определяемые какими-либо антивирусами, давая репорты в антивирусные компании. Чужой хлеб мне не нужен.

Тест на детектирование пройден и я заявляю, что на данный момент он НЕ ОБЪЕКТИВЕН!

Действительно, нет антивирусов, которые невозможно обойти, но так просто как Доктора....

На обход Доктора потрачено МИНИМАЛЬНОЕ время. И это при том, что другим антиврусам уделялось не меньшее время. Поверьте хотя бы на слово :-) Такое вот у меня нездоровое хобби. :-)

Могу сказать, что тот же Касперский и Нод32, крайне трудно обходимы.

А вот пустить под нож иной (Не доктор веб) антивирус, гораздо, существенно гораздо сложнее.

И ещё подчеркну, что обидно лишь то, что работы в данном направлении у г-на Данилова ведутся как-то вяло, по сравнению с конкурентами.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

2 Михаил Кондрашин

Последней Касперский с его весьма продвинутой проактивной защитой душит трояноподобные файлы чётко, хотя спокойно позволяет их скачать или скопировать и запустить. Только проактивная защита работает чётко. Огромный плюс.

Однако если вирус деструктивный, а не трояноподобный - Каспер бессилен после протекта файла.

При этом протекторов реально очень мало ему неподдающихся. Прокол только с двойно криптовкой и с "тяжёлой артиллерией" - полиморфами. Но тут дружно лажают все.

Общее время обаман, при наличии нужных средств (не бит-хак) - ну, несколько секунд :-) столько сколько криптовка идёт.

С Нодом сложнее.

Тут сбой только на двойной криптовке. Либо криптовке экзотикой. И то, часто спасает его отличная эвристика. Именно ОТЛИЧНАЯ. Что бы не говорили. Но тоже - обмануть дело полуминуты.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

cracklover

От сюда вывод: Для автора вируса нужно 1 сек для обмана DrWeb и 30 сек для обмана NOD, скольок там для KAV из вашего поста не ясно, но немного.

Внимание вопрос: Какой в этой эвристике смысл, если наиболее опасные вирусы пишутся с учетем наличия защиты на компьютере потенциальной жертвы? DrWeb "хуже", так как на его обман нужно меньше времени автору вируса? Вот если бы некоторых конкурентов DrWeb нельзя было обмануть, или это требовало неимоверных трудозатрат...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

2 Михаил Кондрашин:

Вывод и вопрос в корне не верны.

Далеко не каждый может и захочет обманывать антивирус.

Таких единицы.

Во-вторых, обамнуть - не значит ПОЛНОСТЬЮ и без всякой возможности защищаться обезоружить.

Всегда есть элементарные средства защиты, которые не обойдёт ни один вирус.

А именно:

НЕ качать то, чему не доверяешь, Не открывать, то чему не доверяешь, СЛЕДИТЬ, что и откуда запускается.

А в эвристике и проактивной защите сейчас как раз вся сила!

Проактивная защита всегда (почти) скажет, что вредное и куда лезет в системе, а эвристика предупредит о неопознанном с одновременной блокировкой.

Лично мне кажется (я это укже писал), что сейчас эвристику надо двигать со страшной силой, с одновременным увеличением числа быстрых онлайн-мультисканеров на вирусы.

Пусть лучше антвирус верещит на каждом пакованном криптованном файле, чем просто плюнет на них и пропсутит без зазерния совести.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вывод и вопрос в корне не верны.
Далеко не каждый может и захочет обманывать антивирус.

Таких единицы.

Зато это авторы самого опасного вредоносного ПО. Нашумевших вирусов тоже единицы. (Ну хорошо, десятки)

Во-вторых, обамнуть - не значит ПОЛНОСТЬЮ и без всякой возможности защищаться обезоружить.

Всегда есть элементарные средства защиты, которые не обойдёт ни один вирус.

А именно:

НЕ качать то, чему не доверяешь, Не открывать, то чему не доверяешь, СЛЕДИТЬ, что и откуда запускается.

Это нельзя реализовать автоматически

А в эвристике и проактивной защите сейчас как раз вся сила!

"В чем сила брат" © Брат

Я согласен, но к сожалению "проактивная" защита, это очень перегруженный термин.

Лично мне кажется (я это укже писал), что сейчас эвристику надо двигать со страшной силой, с одновременным увеличением числа быстрых онлайн-мультисканеров на вирусы.

здорово бы конечно...

Пусть лучше антвирус верещит на каждом пакованном криптованном файле, чем просто плюнет на них и пропсутит без зазерния совести.

Ну уж нет. Есть такая сказка про мальчика, который кричал "Волки! Волки!" Чем все закончилось мы знаем.

По существу: Вы путаете антивирусную проверку с антивирусной защитой. Если первая должна давать некий вердикт по файлу/системе и предполагает интеллект "оператора", то вторая должна помогать работать а не мешать.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вообще защита - это и есть проверка, только в реальном времени :)

Ну... это вы озвучили популярное заблуждение. Полагаю, что смайлик нужно именно такинтерпритировать.

Защита --- это всегда компромисс.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пусть лучше антвирус верещит на каждом пакованном криптованном файле, чем просто плюнет на них и пропсутит без зазерния совести.

Упс... Ну да, дома пусть орет как угодно... А вот на работе, в смысле в рамках корпоративной сети - не дай боже...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А по-поводу изменений в последнее время - да, произошли еще более

кардинальные изменения в отношении количества упаковщиков,

которые поддерживает NOD32, причем произошли они, за очень

короткий период времени.

И грядущий, новый тест на поддержку упаковщиков, покажет

_много_ интересного...

с июля 2006 года по сегодняшний день добавили только поддержку ACE-архивов.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот тест на упаковщики AV-test.org

круче всех Панда:) потому как она блин офигительное число упаковщиков просто по умолчанию относит к зловредам - отсюда адские фолсы (что собственно отражено в презе).

второй каспер, у него фолсов в разы просто меньше, но они есть

к сожалению кроме замечания о крайне медленной работе никаких данных по Доктору нет.

BH_US_06_Morgenstern.pdf

BH_US_06_Morgenstern.pdf

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Просто совершенно непонятный тест...

И главное в правильности его методологии я очень сомневаюсь... А следовательно и результаты его оставляют желать лучшего.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просто совершенно непонятный тест...

И главное в правильности его методологии я очень сомневаюсь... А следовательно и результаты его оставляют желать лучшего.

Презентация это не тот формат где можно описать подробно тест, поэтому неясности конечно есть.

Но вот хотелось бы все же у вас узнать:

1.Что конкретно вам непонятно? желательно подробно

2.Что позволило вам усомниться в его методологии?

Может быть просто несовпадение с результатами теста Anti-Malware.ru вас расстроило:)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот тест на упаковщики AV-test.org

круче всех Панда:) потому как она блин офигительное число упаковщиков просто по умолчанию относит к зловредам - отсюда адские фолсы (что собственно отражено в презе).

Если бы в антивирусе была бы настройка,позволяющая файл,запакованный неизвестным упаковщиком,рассматривать по умолчанию за вирус,обязательно включил бы на домашнем компе.Очень подозрительно,когда малоизвестный упаковщик используется или неизвестный,если просто детект неизвестного упаковщика возможен.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • santy exiland-soft.com/ru/organizer-screen0.html   Что же здесь есть полезного ? 1) Пометить цветом  ( чтобы не терять объект  из вида ) ( или цвет объекта будет сопряжён с его статусом )
      2) Включить в группу > Переместить в группу.
      3) Добавить закладку ( повторная работа с образом и т.д )...
      4) Быстрый и детальный сквозной поиск по всем разделам
      Например записи относящиеся к  Tencent  ( они могут быть в разных колонках )
      Колонки: путь к файлу\производитель...
      А так один запрос разом по нескольким колонкам и мы получим полный список где есть Tencent 5) Выделить всё ( работа со всеми выделенными объектами ) - применяем фильтр и после этого все объекты выделяем. ( с возможностью выбора действия по всем выделенным объектам )  
    • На этой неделе Google выпустили набор ежемесячных патчей для Android. В нем исправлены 74 бреши в безопасности, 11 из которых отнесены к категории критических. В этом месяце Google разделили обновления на две части, первая часть 2016-12-01 включает в себя исправление 16 брешей в безопасности (10 высокой степени риска, 6 средней), вторая часть 2016-12-05 включает 58 патчей (11 критических, 33 высокой степени риска и 14 средней степени). Читать далее
    • Число кибератак на РФ насчитывает десятки миллионов в год, заявил секретарь Совбеза Николай Патрушев. Секретарь Совбеза констатировал, что такие атаки совершаются ежедневно. "Есть специальная система, которая предотвращает эти атаки, - добавил Патрушев. - Мы имеем об этом информацию, которая докладывается в том числе и правительству, и президенту". Читать далее
    • Хакеры проникли во внутреннюю сеть Министерства национальной обороны Республики Корея через главный информационный сервер вооруженных сил страны. Такие данные обнародовало в среду военное ведомство РК. Читать далее
    • Российские хакеры проверят уязвимость госмессенджеров к информационным атакам. А чтобы компьютерные устройства чиновников не атаковались вирусами, в сервис по обмену сообщениями интегрируют антивирусную программу. Читать далее