Danilka

Dr.Web признан единственным невзламываемым антивирусом в мире

В этой теме 94 сообщений

Антивирус Dr.Web, разрабатываемый российской компанией «Доктор Веб», оказался единственным из 7 популярных антивирусов, который не удалось взломать в рамках теста , проведенного участниками конгресса International Alternative Workshop on Aggressive Computing and Security под эгидой французской Высшей Школы Информатики, Электроники и Автоматики (ESIEA).

C 23 по 25 октября во французском городе Лаваль проходил первый конгресс iAWACS (International Alternative Workshop on Aggressive Computing and Security), инициированный Высшей Школой Информатики, Электроники и Автоматики (ESIEA). В рамках данного мероприятия было проведено тестирование 7 антивирусов на возможность взлома системы самозащиты в течение одного часа.

Тестирование проводилось на компьютерах под управлением операционной системы Windows с правами администратора, дабы условия были более реалистичными. В общей сложности оно заняло около часа. Более подробная информация о тестировании представлена на официальном сайте ESIEA.

По итогам организованного ESIEA тестирования выяснилось, что антивирусы таких производителей как «Лаборатория Касперского» и Eset можно взломать за 40 и 33 минуты соответственно. При этом для того, чтобы обойти защиту Norton Antivirus, понадобится всего 4 минуты. Неудачливее всех оказался антивирус McAfee – он «сдался» менее чем за 2 минуты. Также тест самозащиты не прошли AVG и G Data. Единственным антивирусом, который не удалось вывести из строя в течение часа, в рамках которого проводился тест, оказался российский Dr.Web. Всем производителям, участвовавшим в тестировании, была передана информация о найденных уязвимостях.

http://www.esiea-recherche.eu/data/pwn2rm_hacklu2009.pdf

http://news.drweb.com/show/?i=678&c=5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

на папке DrWeb даже права поменять нельзя :) в плане самозащиты они молодцы конечно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Странно...

Очень странно...

Не то, чтобы я знаю, как взломать ДВ, но даже указанный текст выглядит неадекватно... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Там написано открытым текстом, что

But Dr. Web doesn’t block kernel driver loading, so it’s only a matter of time

просто люди за час драйвер не успели написать. :-)

И вообще Web же не участвует в тестах... :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Напоминает пиар кое кого с тем, что они единственные обладатели кое чего в России....

Ну а тут в МИРЕ.... Понимаете? В МИРЕ!!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Напоминает пиар кое кого с тем, что они единственные обладатели кое чего в России....

Ну а тут в МИРЕ.... Понимаете? В МИРЕ!!!!

На форуме веба уже вспомнили про SpiDie

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а vaber где?

Тут :)

Я разве когда-то говорил что у доктора плохая самозащита? Она одна из самых лучших. Просто без контроля за проникновением в ядро ее эффективность уменьшается. Вот и все :)

И вообще Web же не участвует в тестах... blink.gif

Это в наших не хочет участвовать. И в других, где результат хреновый :) Ну и где сами тесты морально устаревшие :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Danilka

молодец, успел исправить ссылку. xD

vaber

я бы тоже не стал.. :( участвовать в подобных тестах.

и да, почему бы вам не опубликовать сию новость на вашем независимом и-а портале? или др.веб в ваших новостях персона нон-грата?) тот, кто держит людей за дураков, сам дурак. :D

p.s. 33 минуты на nod32?... nod32 за 33 так что-ли. долго. насчет spidie: не имея на руках сего экспоита, написать его с нуля за час... все нормально. с победой, типо того.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
и да, почему бы вам не опубликовать сию новость на вашем независимом и-а портале?

С чего бы это?

p.s. 33 минуты на nod32?... nod32 за 33 так что-ли. долго. насчет spidie: не имея на руках сего экспоита, написать его с нуля за час... все нормально. с победой, типо того.

а сколько времени нужно, чтобы написать банальный инжект, ну например, в services и оттуда открыть процесс доктора с правами PROCESS_TERMINATE, а затем вызвать TerminateProcess ?? Не уж то боле получаса, а?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

я бы тоже не стал.. :( участвовать в подобных тестах.

И даже в этом, результат которого, по сути, подтверждается?

и да, почему бы вам не опубликовать сию новость на вашем независимом и-а портале? или др.веб в ваших новостях персона нон-грата?) тот, кто держит людей за дураков, сам дурак. :D

Если внимательно посмотрите, то увидите, что новости по Dr.Web (значимые!) публикуются в данном подфоруме ("Форумы Anti-Malware.ru > Форумы вендоров > Антивирус Dr.Web - покупка, настройка, обмен опытом") с указанием ссылки на первоисточник. Даже, бывает, что новости публикуются с теми же опечатками, которые иногда проскакивают в первоисточнике. ;) В чём момент-то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
С чего бы это?

хм. с чего бы это... ну ок. а эту, скажем, с чего бы?? глупый вопрос, конечно.

а сколько времени нужно, чтобы написать банальный инжект, ну например, в services и оттуда открыть процесс доктора с правами PROCESS_TERMINATE, а затем вызвать TerminateProcess ?? Не уж то боле получаса, а?
И даже в этом, результат которого, по сути, подтверждается?

теперь точно распечатаю его и буду прочитывать перед сном.

Если внимательно посмотрите, то увидите, что новости по Dr.Web (значимые!) публикуются в данном подфоруме ("Форумы Anti-Malware.ru > Форумы вендоров > Антивирус Dr.Web - покупка, настройка, обмен опытом") с указанием ссылки на первоисточник. Даже, бывает, что новости публикуются с теми же опечатками, которые иногда проскакивают в первоисточнике. ;) В чём момент-то?

речь шла не о подфоруме..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поздравляю всех пользователей DrWeb c победой в тесте!

Не могу не удержаться, чтобы не заметить, что позиция ООО "Доктор Веб" состоит в том, что они не участвуют в тестах. Недавно даже записали на эту тему целый подкаст в стиле "разговоры на кухне" :)

А по сути теста очень интересно было бы узнать от восхищенных результатом людей, что для пользователей значит этот тест?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну, как многие уже сказали достаточно загрузить элементарный драйвер в ядро и все. Также уже доказано (и не один раз) "Спайди", что можно вынести самозащиту из обыкновенного юзермода. Не знаю в чем был смысл в продолжительности теста в один час. У вирмейкеров не один час, у них полно времени. Таким образом методология теста ни о чем.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
речь шла не о подфоруме..

Тогда по Булгакову -- "... Кто на ком стоял? Извольте выражаться яснее!.."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не знаю в чем был смысл в продолжительности теста в один час. У вирмейкеров не один час, у них полно времени. Таким образом методология теста ни о чем.

Это даже не тест, а своего рода олимпиада по поиску уязвимостей. Те парни, которые там были нашли такие дырки за такое время. Были бы другие люди (например, попал бы vaber на эту олимпиаду), поломали бы Доктора первым :)

Потом еще один важный момент - психология участников. Представьте, что ломать проги позвали бы вас. Чтобы вы стали ломать первым? Естественно более популярный софт, который все знают. Это просто более престижно, вот и все.

Извините, но в Европе точно знаю Norton, McAfee, Касперского, Eset, AVG, G Data. А вот что такое Dr.Web там мало кто знает. Я бы стал на нем упражняться в последнюю очередь от нечего делать, просто стимула нет. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

vaber

а сколько времени нужно, чтобы написать банальный инжект, ну например, в services и оттуда открыть процесс доктора с правами PROCESS_TERMINATE, а затем вызвать TerminateProcess ?? Не уж то боле получаса, а?

Это был csrss и там уже все есть, не нужно ничего открывать. Это даже не уязвимость dwprot, а что называется by design. Имхо конечно.

Не сплоет, а proof-of-concept.

Защита DrWeb5 полное решето. Обходов достаточно на пару лет релизов. Другое дело, что это неинтересно никому т.к. всем... оно самое. Все довольно тривиально и несколько... скучно? Здесь радует реакция хомячков компании и неадекватных персонажей оттуда же =) Довольно забавно, что компания вспомнила об этом двухнедельном баяне только сейчас. Видимо решили, что имидж надо срочно приподнять.

Что касается теста и кулхацкеров его проводивших, ну это прежде всего дело уровня тех, кто там был. Видимо методы были какие-то уж совсем замшелые:)

Во всей этой чепухе от ДрВеб особенно порадовало \"единственным\" и \"в мире\". Для такой претенциозности недостаточно перехватов пары колбеков в ядре и легкого патча таблиц. Исходя из этих тестов компания забыла сказать спасибо, потому как могла бы запросто их завалить без 1.3.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это был csrss и там уже все есть, не нужно ничего открывать.

Я не о SpiDiE говорил. Этот способ был известен еще с 2008 года, конкретно в контексте доктор веба. Но сути сказанного, да, не меняет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я не о SpiDiE говорил. Этот способ был известен еще с 2008 года, конкретно в контексте доктор веба. Но сути сказанного, да, не меняет smile.gif

Ich verstehe ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А по сути теста очень интересно было бы узнать от восхищенных результатом людей, что для пользователей значит этот тест?

я не восхищен, но для меня этот тест означает тоже самое, что и подобный тест на этом портале.... только в отличее от него, у доктора (они же люди принципиальные, в чем часто меня подкупают) появился повод пропиарится...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что это за мега-искатели уязвимостей не ясно - в плане, почему них не было домашних заготовок? Против нортона, видимо, была.

Распространенные антивирусные продукты можно по пальцам одной руки пересчитать, против каждого из них, в теории, можно хранить по одной баге. Дело упирается в скорость печати только, если реализовывать это в виде исходного кода с последующей компиляцией и запуском.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
я не восхищен, но для меня этот тест означает тоже самое, что и подобный тест на этом портале....

При всем моем уважении неверно в корне ставить равенства между этой олимпиадой по поиску уязвимостей и нашим тестом на самозащиту. Там все полностью зависило от людей. Как я писал выше, им просто могло быть "по приколу" ломать известные бренды, а неизвестный Dr.Web был мало привлекателен. У нас в тесте все было достаточно системно сделано и правила для всех были одинаковы, субъективизм полностью отсутствовал.

Про воспроизводимость одного и другого я уже даже не говорю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • kvoter
      Уважаемые посетители и завсегдатаи  уважаемого Форума! Прошу совета вашего.Суть проблемы : В этом году приобрёл бюджетный ноутбук ASUS 541.До этого  времени пользовался обычным, уже старым ПК. Никаких смартфонов-айфонов не имею.Просто где-то лежит старый кнопочный мобильник....Пользуюсь. Роутер(UPVEL- UR309) подсоединил к PON-терминалу в обычной шлакобетонной квартире.(Нас "массово" переводили на оптоволокно). Примерно полгода назад обратил внимание на то,что индикатор Wi-Fi постоянно светится.Этот роутер я покупал в крупнейшей сети нашего города уже как два года тому назад про запас(цена устроила-низкая) и сразу решил,что никаким Wi-Fi пользоваться не буду. Проложил витые пары по квартирке и подключился к обычным сетевым портам на роутере. Но настроить мне ничего так и не удалось.Вызвал Специалиста от Главнейшего провайдера страны,который предоставляет услугу Интернета гражданам. Спец, примерно, около часа настраивал этот несчастный роутер.Отключил и Wi-Fi .Спасибо ему! Никак ничего и не светилось. Но вот уже как полгода, примерно, "зажегся" этот индикатор.Я звонил в техПоддержку UPVEL;своего Провайдера;техПоддерку компании MICROSOFT(у меня на машинках Лицензионная Win10.Да и всего мало-но Лицензия) Самое интересное-вот недавно вытащил из разъёмов Роутера все кабели:"огонёк" Wi-Fi продолжал светиться. И ответ был  мне от одного консультанта:"всё работает-ну и чУдно!И больше не беспокойте нас!" (Сразу скажу-с Некоторыми из СервисЦентров я знаком:ничего из другого, даже нового оборудования(я физ.лицо, ну или "частное", не починили,только за диагностику "содрали три шкуры"... И вызов Настройщика прилично теперь по цене стоит. Может -действительно на этот"глазок" забить? Жизнь ведь продолжается...
    • AM_Bot
      Хакеры из Китая обнаружили метод обхода блокировки iOS, позволяющий получить действующий ПИН-код от смартфона. Описание способа взлома разместил на своём канале популярный видеоблогер EverythingApplePro. Читать далее
    • AM_Bot
      Президент США Дональд Трамп сообщил в заявлении, что решил преобразовать Киберкомандование США в отдельную полноценную структуру из подразделения Стратегического командования. Читать далее
    • demkd
      сделаю x64 версию restore проверю, а abr будет просто копировать в тот же каталог.
    • Dragokas
      Ну, обычные x64-разрядные программы, там нормально запускаются, тот же FRST. Здесь ведь не нужно службы. Ваш x32 restore.exe отрабатывает нормально без ошибок под x32 Windows RE. Так что простого копирования, думаю, должно быть достаточно.