Перейти к содержанию
Сергей Ильин

Тест антируткитов II (обсуждение)

Recommended Posts

priv8v
Как обсуждалось выше, AVZ - это не антируткит, хотя его можно так использовать.

АВЗ это вообще ничто. в смысле не попадает ни под одну классификацию, но с его помощью можно делать практически все на компьютере (фильмы только пока смотреть нельзя :) ), поэтому ни в какие нормальные тесты его не включают...

Посмотрите на связку Гриша&AVZ - он даст фору многим...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
АВЗ это вообще ничто... можно делать практически все...

Наверное, вы хотели сказать: АВЗ это практически всЁ! :) И не нуждается в дополнительном тестировании. Так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Андрей, нет, моя мысль была не совсем такая. Примерно следующее хотел сказать: т.к Сергей Ильин сказал, что АВЗ это не антируткит, то я продолжил мысль и сказал, что его вообще нельзя классифицировать - ни к чему он не относится, слишком многое хорошо умеет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Партизан это антируткит с cloud-функциями для определения "свой-чужой"

Согласен. Интересно было бы сравнить. Тем более, что разработчики не стоят на месте - активно работают над его развитием.

priv8v

Ну, а я что написал. Разве не одинаково. Всяко лучше чем "ничто". :)

Хотя если бы сказали слово Нечто! (с восклицательным знаком) - это было бы всем вышесказанным, но одним словом. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Готово, осталось обработать полученные данные :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Как написал Гриша выше, тест сделан, результаты получены. Есть некоторые вопросы с обработкой полученных данных.

Вопрос вот в чем. Есть случаи, когда отдельные продукты детектируют аномалии в системе, но не обнаруживают тело руткита. Другие - обнаруживают. Можно сделать вид, что работа выполнена в любом случае, а детали оставить для примечаний и комментарием.

Но как не крути, как не выставляй баллы, лидеры все равно будут одни и те же ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Есть случаи, когда отдельные продукты детектируют аномалии в системе, но не обнаруживают тело руткита. Другие - обнаруживают.

Сергей Ильин

А кто-нибудь из них хоть удаляет руткитов самостоятельно? ;)

Засветите таблоид примерно с такими буквами, делов-то:

DA-детект аномалии (жёлтый);

DR-детект руткита (красный);

DD-детект и удаление руткита (зелёный).

Или заполните ячейки таблицы как у светофора (см. выше).

Кого в шапку таблоида, проги или семплы – уж как удобнее отображать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
А кто-нибудь из них хоть удаляет руткитов самостоятельно?

Это удел автоматических антируткитов, их в тесте немного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Это удел автоматических антируткитов

Да, но они же есть. Как то надо и их работу обозначить (уже предложено выше).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
Да, но они же есть. Как то надо и их работу обозначить (уже предложено выше).

Система оценки выбрана. Никто не останется обделенным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Все результаты уже есть, готовим отчет о тестировании.

Немного неожиданные лично для меня результаты получились. Лучшие три антируткита получились такие (без утонения точной позиции): GMER, RootRepeal, VBA32.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
GMER

Лично я и не сомневался... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

ну вообще результат предсказуемый достаточно=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Результаты теста опубликованы, просьба вести дальнейшее обсуждение там.

http://www.anti-malware.ru/forum/index.php?showtopic=13140

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×